AIデータ復旧サービス:認識可能なドライブを分解され、「*枚目のプラッタに傷がある」と・・?

□ どんなドライブ・状態でもOK お気軽にご相談ください。緊急:090-3900-8289 までどうぞ。
※ よほどのことがない限りデータは大丈夫です。守秘義務・秘密保持厳守いたします。

ホームAIデータ復旧サービス→技術を積み重ねた確かな復旧→AIデータ復旧サービス:ドライブ開封について

2017年10月更新:
残念ながら、復旧可能なデータを潰す形により、復旧を不可能とする事例が出てしまいました。
※ 実際にお預かりいたしまして、解析した結果となりますので、間違いございません。(おそらく例の暗号化かな・・とみております)
以下列挙いたしました事例2の乱数版で間違いない見込みです。 このような事態を防ぐため、少しでもおかしいと感じましたら、何があってもその日のうちに、その業者にドライブを取りに行く必要がございます。
□ 絶対に、返送されるのを待ってはいけません。

□ 正式なご依頼前に、ドライブが開封されて返却されるケースが多発しております。
※ 初期診断の段階(お客様の正式ご許可を得る前)に、ハードディスク本体自体を開封されてしまう信じがたいケースが多く出てしまっております。 無許可にてドライブが開封されてしまいますと、その開封を担当した業者以外、基本的に手が出せなくなります。十分にご注意ください。
※ ドライブ本体ではなく「外付けのケース(NAS本体等)」については、開封されても全く問題ございません。 こちらは、内部のドライブを診断するために、必ず開封いたします。

■ 流れの例:

1, お電話等のご相談時に伝えられていない、高額(約3~5倍等)なお見積に加え、持ち込んだのに返却が明日になる、勝手にドライブが開封されてしまう、何度もしつこく電話が掛かってくる、持ち込むとすぐに復旧するかしつこく伺われる等はじめから明らかにおかしな雰囲気で始まります。

最近では、成功報酬で診断したにも関わらず、復旧不能の場合でも30万円以上という事例も出ております。 この金額に技術的な根拠はなく(復旧費用と同等では調査料とは呼べません)、十分にご注意ください。
なお、このような明らかにおかしな条件でも、契約(ご依頼)してしまったら、 それから他の業者様にご相談いただきましても、どうすることもできません・・。十分にご注意ください。

2, お客様へ戻す前にデータを引き抜き(このために、ドライブを持ち込んだにも関わらず返却までが数時間~明日以降)、 ドライブ本体を開封のち、「*枚目のプラッタに傷がある」等のような「検査した」と見せかける報告書と一緒に戻してきます。

この報告書の内容は、中身がなく、何の意味もない内容です。
※ プラッタに傷があると断定したのであれば、その位置を「数値」で欲しい所です。さすがに、弊社を含め・・みな呆れている状況です。

■ フリーソフトウェアでも傷の位置が正確に出せます。 [>> ダウンロード]
※ 認識可能なドライブを分解してしまい、「*枚目のプラッタに傷がある」と言われて戻されてもかなり困ります。

3, その状態から他の業者へご依頼されても・・・、
技術的に(故意にではなく)復旧できないような雰囲気で復旧不可にさせます

異なったビスで無理に締めた形跡や、異なったネジが使われている、ネジの締め具合が不完全で内部にホコリ、はよく拝見いたしました。 また、明らかに異なる形式のヘッドが入っていてプラッタが崩壊・・という事例までありまして、これらは復旧以前の状況です。
※ 例:WesternDigital製の場合、同じ型番・ロットでも明らかに異なったヘッドが採用されている場合が多くありますので、このあたりの調査・見極めは重要です。

4, 元のその業者に戻ってきましたら、先に引き抜いておいた正常なデータを「復旧した」として渡します。

■ 21種類(2016-1114:1件追加)を確認いたしており、「分類21」まで詳しくまとめております。

■ 検出ツールを開発いたしました。(データ汚染アナライザー) >> こちらより

データ汚染アナライザーは、ファイルシステムドライバの誤作動ではあり得ないパターンを検出できます。
復旧業者にご依頼後、お見積で折り合いが付かず戻してもらった際に、何か違和感を感じる場合は、まずこの機能をお試し下さい。 また、プロエディション向けとはなりますが、情報検出機能の方でも、このようなデータ汚染を検出できる機能を搭載しております。

□ 例:NTFSのファイルレコードに対する人為的な汚染を検出。これによりデータが約30%失われてしまいました。

破壊アルゴアナライザー

● 分類1 0x00で上書き

ドライブ先頭より0x00(空白)で上書きしていくという手法で、シンプルですが復旧できなくなります。
※ 完全に消去(抹消されている)されておりますので、この場合は復旧できません。

● 分類2 途中を一定範囲、0x00で上書き

調査の結果、先頭からの消去ではすぐに分かってしまうため、気が付かれにくい場所を探索して上書きする仕組みです。
MBR(GPT)が生きておりますので、エラーメッセージが変わらない点が重要となります
※ ただ、「ディレクトリ構造が壊れています」の場合、「フォーマットしますか?」に変わる可能性あり。
※ 抹消に近い形で消えておりますので、復旧率が低下いたします。

● 分類3 ファイルレコードを重複させて上書き

ファイルレコード(データの情報を積んだレコード)が重複して存在してしまい、同じ階層に同じ名前が多数並んで、解析を不能(または厳しく)にしてしまいます。

● 分類4 断片化リスト部分のみを直接的に破壊

復旧可能なファイルを探索後、明らかに統計よりも低い復旧整合性が出てくるケースがございます。
やはり、一度復旧をキャンセルされたとの事で、このアルゴが浮かび上がってきます。
断片化の処理が不可能となってしまい、断片化ファイルが壊れてしまいます。
断片化部分を選別して潰していると思われ、この場合はミラーを含めて探索する方法に切り替えております。
※ 破壊する側も、逃げ道としてミラーには手を出していない場合が多いです。
※ 万一の場合も、オリジナルから出せる方法が残っていれば、それが逃げ道となるためと考えられます。

● 分類5 リンクの異常

ファイルシステムは、断片化情報を保持するために、それぞれ特徴的な方法でリンクを保管しております。
そのままでは読み出せない(消費バイト数を減らす工夫)、デコードの作業が毎回必要です。
そのデコード作業にてエラーを誘うような細工が行われている場合がございました。
こちらも、断片化の処理が不可能となってしまい、断片化ファイルが壊れてしまいます。

● 分類6 バッファ系の異常

ファイルシステム探索部分の異常となります。
おそらく、その部分を割り当てて潰しているだけと思いますが、致命的なエラーを出すようになります。
このパターンでは、別の部分(ミラー)から復旧する事により綺麗にデータが出てまいります。

● 分類7 ファイル名の異常

ファイル名の文字コードがおかしく、復旧ロジックのバッファ機構にエラーを誘い、解析を困難にする方法のようです。
もちろん、ファイルシステム損傷時に発生した可能性もありますが、問題はその量です。
明らかに辿った形で破壊された形跡が残っている場合は、このケースを疑っております。
このパターンでも、別の部分(ミラー)から復旧する事により綺麗にデータが出てまいります。

● 分類8 複数の適用1

リンクとバッファが同時に処理されている場合がございます。
探索結果が飛び飛び(異なる場所にファイルが収まる)となるため、すぐに判別できまして、対処いたしております。

● 分類9 複数の適用2

アルゴ その2と、その他が組み合わさっているパターンで、復旧率が大きく低下するため問題となります。
※ ミラーおよび全レコードから解析を行いまして、最良パターンを組み合わせ、実施いたしております。

● 分類10 複数の適用3

バッファとファイル名異常が同時に処理されている場合がございます。
ファイル名異常より先にファイル名を解決し、それからバッファを捨ててミラーに切り替えて、対処いたしております。

● 分類11 ファイルレコードサイズ改変

はじめ、探索結果が想定量よりも少なく報告されるため、詳しく調査いたしました結果、
ファイルレコードサイズが変わっていたため、ここを戻して綺麗に復旧いたしました。
※ ファイルシステムのバグでこのような事は皆無なので、破壊アルゴと判断させていただきました。

● 分類12 誤り訂正符号の改変

ファイルシステムには、エラーを検出するため、誤り訂正符号を埋め込んでおります。
その誤り訂正部分をデコードする部分が抜けてしまっているケースとなります。
この場合、元の情報が分からないため、その部分は回避して対応いたしております。(復旧率低下)

● 分類13 複数の適用4

ファイルレコードと誤り訂正符号の改変が同時に存在するパターンとなります。
※ 誤り訂正符号の方が影響が低いため、ファイルレコードの方を重点的に対処いたしております。

● 分類14 ファイルサイズの改変

明らかにおかしなサイズが書き込まれているファイルが多数存在いたします。
※ 少しの場合はエラーとしてそういう形になる場合がございます。
マスク処理でそのようなファイルを弾けば良いと思われがちですが、それでは厳しいのです。
なぜならば、明らかにサイズが小さいオフィスファイルなどが4.0GBを超えたサイズになっているためです。
そして、お客様が復旧を希望されるファイルはそれらとなりますので、除外する訳にはいきません。
このような場合は復旧ロジックを工夫し、10MB程度に抑え込んでファイルを復旧しております。
※ 元のファイルとサイズが異なりますが、それを開いた際にオフィスに修復されます。

● 分類15 レコード情報破損

本ページ上部にあるスクリーンショットです。(検出ツールのご案内)
レコード情報自体が何か別のデータに押される形で失われております。
※ ミラーより復旧を行い、そちらまで壊れている場合はファイル名を失う形でしか復旧できません。

● 分類16 ファームウェアの細工

スピンアップ後、異音が出続けるように細工されたドライブを見つけました。
元々は正常に認識できていた(論理障害)と伺いましたので、「データ復旧キャンセル」後に汚染されたケースです。
お問い合わせの数倍に至るお見積で保留しておきましたら勝手に戻され、ドライブの様子がおかしいという事でご相談いただきました。
※ ファームウェアの移植で元に戻りました。壊れていなかったので、一安心となったご案件です。

● 分類17 MBR(GPT), BPB(SuperBlock), ディレクトリエントリの抹消

「読み取りができない」等のエラーが出て、データ復旧が必要となったケースだったのですが、ご確認いたしました結果、そのエラーが出ない状況でした。
Windowsでこのようなエラーが出る場合、ファイル構造は壊れておりますが、その領域自体には辿り着けております。
つまり、このようなエラーではMBR(GPT)、BPBおよび、一部のディレクトリエントリは正常な形で残っております。
しかしながら、MBR(GPT)およびBPBが0x00でクリア(空白)されておりまして、さらにはディレクトリエントリが0xFF等のバイナリで潰されておりました。
重要部分がピンポイントに壊れておりますので、自然故障ではなく、狙ってやられております。
ただ、これは業者ならばすぐに分かりますので、もはや隠す素振りもなく、怖いというしか言いようがない事例でした。
※ ミラー(ジャーナリング等)があれば、そこから復旧する事が出来ますが、FAT系の場合は厳しいです。

● 分類18 クラスタファイルシステムの破損

クラスタファイルシステム自体は認識していたのですが、その領域の先頭からシグネチャを含め消滅しておりました。
複数の仮想環境を持つためのファイルシステムなのですが、このベースが破損すると、全ての仮想環境を失います。
また、「複数」のシステムが絡み合うので、これに対してアルゴ等で上書きされた場合、復旧は「ほぼ不可能」です。
実際に拝見した例(VMFS)では、このクラスタファイルシステムが始まる領域先頭から0x00で消去されている形跡があり、これは少しでも「致命傷」になります。
クラスタファイルシステムが壊されると、その影響は多大(全仮想環境&全データ損失)となりますので、十分にご注意ください。

● 分類19 誤削除ファイルの上書き破損

こちらは、Macintoshのお客様にて多数を拝見しておりまして、深刻な問題です。
誤削除からの復旧となるのですが、業者にパソコン本体を預けた後、その場で1時間位待たされ、高額なお見積(数通り)が出るようです。
※ 全ての方が同じ流れでした。本体を預けたあと、待たされております。
データの復旧作業はお客様の許可が必要となりますので、その場で抜き出すようなことは決してないはずなのですが・・・。
そして、既にその地点で引き抜かれた後にデータ自体が抹消され(痕跡を調査済み)、高額にてキャンセルいたしましても、すでに復旧できる状態ではございません。

● 分類20 ファームウェア改変

ドライブを動かすためのプログラムが破損させられ、動作不能となる信じ難い例です。
ドライブのラベルに記載されているファームウェアとは異なるものが投入され、動作不能になったドライブとなります。
いわゆる「一発で致命傷」となりますので、ここから復旧する事は、まず叶いません。
非常に深刻な問題と認識しております。

● 分類21 お客様の許可を得ず、正式ご依頼前(初期診断の段階)に、ドライブを開封されてしまう場合

ドライブを勝手に開封してしまい、他で復旧できなくなっております。非常に深刻な問題と認識しております。
ドライブを開封してしまいますと、開封する前の個体差が不明となりますので、ドライブを開封した業者以外では対応が難しくなります。 このため、初期診断作業の段階でドライブが開封されてしまう事は、その業者以外では取り出せなくなる事を意味いたします。