Чрезвычайно важной категорией накопителей являются внешние диски. Как по нашим данным, так и по данным из открытых источников следует, что многие деятели криминального мира хранят информацию именно на внешних дисках, которые подключаются к компьютеру через интерфейс USB. Несмотря на то, что мы объединили «внешние диски» в одну категорию, фактически мы имеем дело с несколькими различными подходами к организации хранилища.
Для каждой из этих категорий есть свои особенности и предосторожности, которые необходимо соблюдать при работе с ними. Так, большинство корпусов – неразборные; при попытке извлечь из них накопитель корпус неизбежно повреждается, а собрать устройство в обратном порядке без соответствующего опыта может оказаться сложным или даже невозможным в силу повреждений корпуса. Соответственно, при работе с внешними дисками всегда необходимо иметь ответ на вопрос: допустимо ли физическое повреждение устройства и есть ли в этом смысл?
Инструкция: как разобрать WD Elements Desktop с минимальными повреждениями
Поскольку в категорию внешних дисков входят как обычные внешние корпуса, в которые вставляется жёсткий диск или SSD, так и многочисленные вариации, извлечение данных из ряда вариантов может представлять неожиданные сложности. Так, компания Western Digital устанавливает во внешние корпуса форм-фактора 3.5” так называемые «белые» диски. Эти диски представляют в себя модели, которые не прошли строгий отбор качества для использования в других, более высоких линеек. С технической точки зрения дело часто либо в небольших дефектах поверхности (тогда диски, скажем, объёмом 14ТБ перемаркировываются в модель 12ТБ и устанавливаются во внешний корпус) или в частоте, на которой способна работать электроника магнитных головок. Если головки чтения-записи не способны работать на высокой частоте, которая требуется для работы, скажем, моделей, выпускаемых в линейке Ultrastar, такие диски «спускаются» вниз. Наименее скоростные экземпляры маркируются «белой этикеткой» и устанавливаются во внешний корпус.
Пример такого диска:
Особенность такого рода отбора в том, что во внешние корпуса попадают как диски, изначально предназначавшиеся для установки в компьютеры или бытовые NAS, так и диски, перемаркированные из моделей, предназначавшихся для центров обработки информации (и таких дисков попадается очень много). В последнем случае диск прекрасно работает во внешнем корпусе, но попытка подключить его к компьютеру приводит к тому, что диск даже не запускается. Проблема здесь – в новой версии спецификации SATA (см. выше раздел о Pin 3 PWDIS). Решение проблемы элементарно; достаточно подать питание не напрямую, а через простейший переходник типа 4 pin female molex to SATA power adapter, однако для того, чтобы это сделать, о проблеме нужно, как минимум, знать.
Впрочем, описанное выше касается не всех внешних моделей накопителей WD. В частности, в линейку WD_Black устанавливают самые скоростные диски линейки Ultrastar.
Компания Seagate не использует подобные схемы отбора, и модели с Pin 3 PWDIS во внешних корпусах нам до сих пор не попадались. В то же время Seagate устанавливает в некоторые модели внешних корпусов максимально удешевлённые диски с черепичной записью (например, именно такие диски устанавливают в модели 3.5” с объёмом 10ТБ, а также практически во все модели с дисками 2.5”). На скорости чтения черепичная запись не сказывается, но запись может оказаться чрезвычайно медленной. В частности по этой причине мы не рекомендуем никакие диски с черепичной записью для сохранения на них извлечённых данных. Подробнее об этом можно прочесть в нашей статье — Черепичная запись SMR в накопителях WD и Seagate.
Инструкция по разборке Seagate Expansion Desktop.
Ещё одна проблема — контроллер USB, стационарно установленный на диски 2.5″. На таких дисках стандартный разъём SATA отсутствует; вместо него сделан прямой выход на USB. Контакты SATA могут как присутстсвовать на плате контроллера, так и полностью отсутствовать. Дать универсальную рекомендацию по извлечению данных здесь нельзя; выбор оптимальной стратегии доступа к данным будет различаться от случая к случаю. Так это выглядит для модели WD_Black P10.
На рынке представлен ряд внешних накопителей, шифрование в которых реализовано на аппаратном уровне средствами либо контроллера диска, либо контроллера USB. Данные на таких дисках шифруются по алгоритму AES-256, и получить доступ к ним невозможно, если неизвестен оригинальный пароль. Даже если пользователь не включил шифрование (то есть, пароль не задан), данные на таких дисках всё равно могут быть зашифрованы – просто ключ шифрования будет храниться на внешних дорожках диска в открытом виде, а не в зашифрованном посредством пароля. Таким образом, при снятии образа с таких дисков придётся приложить дополнительные усилия для расшифровки данных.
У Western Digital есть линейка WD MyBook, в которой используются диски с поддержкой SED (с шифрованием на уровне контроллера диска). Если на такое устройство установлен пароль, то извлечь из него данные, не зная оригинального пароля, будет невозможно.
В линейке WD MyBook Duo шифрование происходит на уровне контроллера USB в самом корпусе. Ключ шифрования при этом сохраняется на внешних дорожках дисков; данные шифруются контроллером независимо от того, установлен ли пароль. Если пароль не установлен, то ключ шифрования хранится в открытом виде, а если установлен — то ключ, соответственно, шифруется паролем. Соответственно, прочесть данные с таких дисков можно только тогда, когда они установлены в корпус (не обязательно оригинальный, но обязательно – той же модели). Похожим образом работает шифрование и в компактных моделях WD MyPassport, у которых на плату контроллера 2.5″ жёсткого диска припаян контроллер USB, а контактов SATA нет. Подобным образом поступают и другие производители — например, Toshiba; в то же время у компактных внешних дисков Seagate USB-контроллер, как правило, отдельный.
Работа с внешними накопителями требует тщательного анализа особенностей каждого устройства и точного понимания особенностей конкретной модели. Знание потенциальных особенностей и ограничений и способов их преодоления позволит избежать потерь данных и затруднений при извлечении данных с таких устройств.