Regarding Troubles with Data Recovery Services
データ復旧サービスに関するトラブルについて

Caution is needed with providers who assert they can “definitely recover” data without any prior verification or even touching the device. Such behavior often leads to significant trouble. There are cases where no recovery data emerges at all, and exorbitant fees are demanded without any mention on the provider’s website. The forms of victimization vary widely.
デバイスを触ることなく、事前の検証もなしに「絶対にデータを復旧できる」と主張するプロバイダーには注意が必要です。このような行為はしばしば大きなトラブルを引き起こします。全く復旧データが出てこないケースや、プロバイダーのウェブサイトには何の記載もないのに法外な料金を要求される事例があります。被害の形態は多岐にわたります。

Also, there are instances where customers are charged exorbitant fees that differ greatly from the initial consultation and are not even listed on the website. Furthermore, practices like threatening clients with statements like “This is your last chance. Miss it and recovery will be impossible forever” are rampant.
また、初回相談とは大きく異なる法外な料金を請求されるケースや、ウェブサイトにも掲載されていないケースもあります。さらに、「これが最後のチャンスです。逃すと永遠に復旧不可能」といった脅迫的な発言でクライアントを脅すような慣行も横行しています。

Ultimately, we believe these are the limitations of Web2.0. Here is an example of an estimation trouble, which has been common for over 20 years without any change in its nature.
最終的に、これらはWeb2.0の限界だと私たちは考えています。ここでは、20年以上変わらずに一般的であった見積もりトラブルの例を紹介します。

Next, we will introduce a case involving a drive returned after cancellation. In the image shown next, please pay special attention to the area circled in red. This is the heart of the data drive, the chip where the program is stored. There are noticeable cases where this crucial part has been swapped out, making data recovery impossible.
次に、キャンセル後に返却されたドライブに関するケースを紹介します。次に示す画像で、赤で囲んだ部分に特に注意してください。これはデータドライブの中心部、プログラムが格納されているチップです。この重要な部分が交換されている事例が目立ち、データ復旧が不可能になっています。

These cases started with “capacity lock” and evolved to tactics like “original firmware” and “data loss.” Therefore, I have categorized and summarized these situations.
これらのケースは「容量ロック」から始まり、「オリジナルファームウェア」「データ消失」といった戦術に進化しました。そこで、これらの状況をカテゴリー別に分類し、まとめました。

Last Updated: December 14, 2023 (Thursday)
最終更新日:2023年12月14日(木)

Category 1: Overwriting with 0x00
カテゴリー1:0x00での上書き

It’s a simple method where overwriting from the beginning of the drive with 0x00 (blank) makes it unrecoverable. Since it’s completely erased, recovery is not possible in this case.
ドライブの始めから0x00(空白)で上書きすることで、復旧不可能にする簡単な方法です。完全に消去されるため、このケースでは復旧は不可能です。

Category 2: Overwriting a Specific Range in the Middle with 0x00
カテゴリー2:0x00で中間の特定範囲を上書き

To avoid immediate detection from the beginning, this mechanism seeks less noticeable areas to overwrite. It’s important that the MBR (GPT) remains intact and error messages do not change. In cases of “directory structure is damaged,” it might change to “Do you want to format?” The recovery rate decreases as it’s nearly erased.
始めからすぐに検出されるのを避けるため、目立ちにくいエリアで上書きするメカニズムです。MBR(GPT)がそのままで、エラーメッセージが変わらないことが重要です。「ディレクトリ構造が損傷している」場合、それが「フォーマットしますか?」に変わることがあります。ほぼ消去されているため、復旧率は低下します。

Category 3: Duplicating and Overwriting File Records
カテゴリー3:ファイルレコードの複製と上書き

Multiple duplications of file records (stacked data records) make it impossible (or extremely difficult) to analyze, as the same names appear in the same hierarchy.
ファイルレコード(積み重ねられたデータレコード)の複数回の複製により、同じ名前が同じ階層に現れるため、解析が不可能(または極めて困難)になります。

Category 4: Direct Destruction of Fragmented List Parts
カテゴリー4:断片化リスト部分の直接破壊

There are cases where the recovery consistency is lower than the statistics after searching for recoverable files. Fragmentation becomes unprocessable, and fragmented files get damaged. It’s thought that selective crushing of fragmentation parts is being done, hence the switch to methods that include searching mirrors, which are often untouched.
復旧可能なファイルを探索した後の統計よりも低い回復一貫性のケースがあります。断片化が処理不能になり、断片化されたファイルが損傷します。断片化部分の選択的破壊が行われていると考えられ、未処理のミラーを含む方法への切り替えが行われています。

Category 5: Link Anomalies
カテゴリー5:リンク異常

The file system stores links in a characteristic way to maintain fragmentation information. They’re unreadable as-is (reducing byte consumption), so decoding is always necessary. There have been cases of tampering to induce errors in this decoding process. This also makes fragmentation processing impossible, damaging fragmented files.
ファイルシステムは、断片化情報を維持するために特徴的な方法でリンクを保存します。そのままでは読めない(バイト消費を減らす)ため、常にデコードが必要です。このデコードプロセスでエラーを誘発する改ざん事例がありました。これにより、断片化処理が不可能になり、断片化されたファイルが損傷します。

Category 6: Buffer System Anomalies
カテゴリー6:バッファシステム異常

This is an anomaly in the file system search part. It’s probably just allocated and crushed in that part, causing fatal errors.
これはファイルシステム検索部分の異常です。おそらくその部分だけ割り当てられ、破壊されており、致命的なエラーを引き起こします。

Category 7: File Name Anomalies
カテゴリー7:ファイル名異常

The character encoding of file names appears to be corrupted, making it difficult to analyze by inducing errors in the recovery logic’s buffer mechanism. This might occur during file system damage, but the problem is the quantity. If there are clear traces of destruction in a traceable form, this case is suspected.
ファイル名の文字エンコーディングが破損しているようで、復旧ロジックのバッファメカニズムでエラーを誘発することで、解析が困難になります。これはファイルシステム損傷時に発生する可能性がありますが、問題は量です。追跡可能な形で明確な破壊の痕跡がある場合、このケースが疑われます。

Category 8: Simultaneous Anomalies in Link and Buffer Systems
カテゴリー8:リンクとバッファシステムの同時異常

There are cases where links and buffers are processed simultaneously. The search results become scattered (files settling in different places), making it easy to identify and address.
リンクとバッファが同時に処理されるケースがあります。検索結果が散らばる(ファイルが異なる場所に落ち着く)ため、識別しやすく、対処しやすいです。

Category 9: Scattered Unnatural 0x00s
カテゴリー9:散らばった不自然な0x00

This pattern combines Categories 2 and others, significantly lowering the recovery rate. Analysis is conducted from mirrors and all records, combining the best patterns for implementation.
このパターンはカテゴリー2などを組み合わせ、復旧率を大幅に低下させます。ミラーと全レコードから解析を行い、実装に最適なパターンを組み合わせます。

Category 10: Simultaneous Confirmation of Buffer System and File Name broken
カテゴリー10:バッファシステムとファイル名の同時確認が壊れた

There are cases where buffer and file name anomalies are processed simultaneously. The approach is to resolve file name anomalies first, then discard the buffer and switch to the mirror for treatment.
バッファとファイル名の異常が同時に処理されるケースがあります。アプローチは、まずファイル名の異常を解決し、その後バッファを破棄してミラーに切り替えて処理します。

Category 11: File Record Size Modification
カテゴリー11:ファイルレコードサイズの変更

Detailed investigation was conducted as the search results reported less than the expected amount. It was found that the file record size had changed, so it was restored and cleanly recovered. As such occurrences are nonexistent due to file system bugs, we’ve determined it to be deliberate destruction.
検索結果が予想される量より少ないと報告されたため、詳細な調査が行われました。ファイルレコードのサイズが変更されていることが判明し、それを復元してきれいに回復しました。このような発生はファイルシステムのバグによるものではなく、故意の破壊と判断しました。

Category 12: Modification of Error Correction Codes
カテゴリー12:エラー訂正コードの変更

The file system embeds error correction codes for error detection. Cases where the decoding part for this error correction is missing have been observed. In such cases, since the original information is unknown, that part is avoided in the response (lowering the recovery rate).
ファイルシステムにはエラー検出のためのエラー訂正コードが埋め込まれています。このエラー訂正のための復号部分が欠落しているケースが観察されています。そのような場合、元の情報が不明なので、その部分は回復処理から避けられます(回復率を下げる)。

Category 13: Multiple Applications of Category 4
カテゴリー13:カテゴリー4の複数適用

A pattern where both file record and error correction code modifications exist simultaneously. Since the effect of error correction code modifications is lesser, the focus is primarily on addressing file record issues.
ファイルレコードとエラー訂正コードの両方の変更が同時に存在するパターンです。エラー訂正コードの変更の影響が少ないため、主にファイルレコードの問題に焦点を当てています。

Category 14: File Size Modification
カテゴリー14:ファイルサイズの変更

There are numerous files with obviously incorrect sizes written. In some cases, this occurs as an error. It’s challenging to filter out such files with mask processing. For example, office files that are obviously too small are written with sizes exceeding 4.0GB. In such cases, recovery logic is adjusted to limit the file size to about 10MB for recovery. The size differs from the original file, but it gets repaired when opened in Office.
明らかに間違ったサイズで書かれた多数のファイルがあります。これはエラーとして発生することがあります。このようなファイルをマスク処理で除外するのは困難です。たとえば、明らかに小さすぎるオフィスファイルが4.0GBを超えるサイズで書かれています。このような場合、回復のためにファイルサイズを約10MBに制限するように回復ロジックを調整します。サイズは元のファイルと異なりますが、Officeで開くと修復されます。

Category 15: Record Information Corruption
カテゴリー15:レコード情報の破損

The record information itself is lost, being pressed by some other data. Recovery is conducted from the mirror, and if that too is damaged, recovery can only be done without the file name.
レコード情報自体が失われ、他のデータに上書きされています。回復はミラーから行われ、それも破損している場合は、ファイル名なしでの回復しかできません。

Category 16: Firmware Tampering
カテゴリー16:ファームウェアの改ざん

A drive was found that had been tampered with to continue making noises after spinning up. It was a case where it was originally recognizable (logical damage) but was destroyed after cancellation. We received a consultation saying the drive was acting strange after being returned on an estimate several times the initial inquiry. The firmware was transplanted back to its original state. It was a relief as the drive was not damaged.
起動後にノイズを続けるよう改ざんされたドライブが見つかりました。もともとは認識可能(論理的損傷)でしたが、キャンセル後に破壊されました。見積もり後に返却されたドライブが、初回の問い合わせ時より数倍の見積もりで奇妙に振る舞っているという相談を受けました。ファームウェアは元の状態に戻されました。ドライブが損傷していなかったのは幸いでした。

Category 17: Erasure of MBR (GPT), BPB (SuperBlock), Directory Entries
カテゴリー17:MBR(GPT)、BPB(スーパーブロック)、ディレクトリエントリの消去

Cases where errors like “unable to read” appeared, necessitating data recovery. However, upon verification, such errors were not present. If such errors occur in Windows, it means the file structure is damaged, but the area itself is reachable. In other words, errors in the MBR (GPT), BPB, and some directory entries remain in a normal state. However, the MBR (GPT) and BPB were cleared with 0x00, and the directory entries were crushed with binaries like 0xFF. Important parts were targeted for destruction, indicating deliberate damage.
「読み取れない」などのエラーが表示され、データ回復が必要になったケースがあります。しかし、確認すると、そのようなエラーは存在しませんでした。Windowsでこのようなエラーが発生する場合、ファイル構造が損傷していることを意味しますが、該当領域自体にはアクセスできます。つまり、MBR(GPT)、BPB、および一部のディレクトリエントリにエラーがあっても、通常の状態に留まります。しかし、MBR(GPT)とBPBは0x00でクリアされ、ディレクトリエントリは0xFFなどのバイナリで破壊されました。重要な部分が破壊の対象となり、意図的な損傷が示されています。

Category 18: Corruption of Cluster File System
カテゴリー18:クラスターファイルシステムの破損

The cluster file system itself was recognized, but the area starting from its beginning, including the signature, had disappeared. This file system is for multiple virtual environments, and corruption at this base results in the loss of all virtual environments. If overwritten, recovery becomes ‘almost impossible’ due to the intertwining of multiple systems. In actual cases (e.g., VMFS), traces of erasure from the beginning of the area where the cluster file system starts with 0x00 were observed, which is fatal. The destruction of the cluster file system has a significant impact (total loss of all virtual environments & all data), so please be cautious.
クラスターファイルシステム自体は認識されましたが、その始まりの領域、署名を含む部分が消失していました。このファイルシステムは複数の仮想環境用であり、この基部の破損はすべての仮想環境の損失を意味します。上書きされると、複数のシステムが絡み合っているため、「ほぼ不可能」になります。実際のケース(例えば、VMFS)では、クラスターファイルシステムが始まる領域の始まりから0x00で消去された痕跡が観察され、これは致命的です。クラスターファイルシステムの破壊は大きな影響を及ぼします(すべての仮想環境およびすべてのデータの全損失)ので、注意してください。

Category 19: Broken overwrite a mistake deleteing file and operating format
カテゴリー19:誤ってファイルを削除し、フォーマット操作を行った際の上書き破損

Overwrite Corruption due to Accidental Deletion or Formatting This is a serious problem frequently seen with OSX clients. The location of the tree structure is destroyed, making it no longer recoverable.
誤って削除またはフォーマットによる上書き破損は、OSXクライアントで頻繁に見られる深刻な問題です。ツリー構造の位置が破壊され、回復が不可能になります。

Category 20: Firmware Modification
カテゴリー20:ファームウェアの改変

An unbelievable case where the program running the drive is corrupted, rendering it inoperable. Drives have been found with firmware different from what is listed on the drive label, rendering them inoperable. Such modification can be immediately fatal, making recovery impossible. This is recognized as a very serious issue.
ドライブを動かすプログラムが破損し、操作不能になる信じられないケースがあります。ドライブラベルに記載されたものと異なるファームウェアのドライブが見つかり、操作不能になりました。このような改変は即座に致命的であり、回復が不可能になります。これは非常に深刻な問題と認識されています。

Category 21: Drive Opened Without Customer’s Permission Prior to Request
カテゴリー21:顧客の許可なしにドライブを開封したケース

Drives are opened without authorization, rendering them unrecoverable elsewhere. This is recognized as a very serious issue. Opening a drive makes it difficult for others besides the opener to respond, as the individual differences before opening become unknown. Thus, in initial diagnosis, if a drive is found to have been opened, it means that other companies cannot retrieve the data.
許可なくドライブが開封され、他の場所では回復できなくなります。これは非常に深刻な問題と認識されています。ドライブを開封すると、開封者以外が対応することが難しくなります。なぜなら、開封前の個々の違いが不明になるからです。したがって、初期診断でドライブが開封されていることが判明した場合、他の会社ではデータを回収できないことを意味します。

Category 22: Chip Swap of Firmware-loaded Chip
カテゴリー22:ファームウェアをロードしたチップの交換

This is a case where the chip carrying the program to run the drive is swapped. The chip to run the drive contains dynamic parameters necessary for operating that drive. Therefore, losing the original chip makes recovery difficult for other companies.
ドライブを動かすプログラムを運ぶチップが交換されたケースです。ドライブを動かすチップには、そのドライブを操作するために必要な動的パラメータが含まれています。したがって、元のチップを失うと、他の会社での回復が困難になります。