Хотя индустрия движется в сторону быстрых NVMe и облачных хранилищ, в практике эксперта-криминалиста регулярно возникают ситуации, когда необходимо извлечь информацию из устройств, которые считаются безнадёжно устаревшими. Это могут быть архивные данные коммерческих структур, старые персональные компьютеры или промышленное оборудование, работающее десятилетиями. Пренебрегать такими носителями нельзя, поскольку именно на старых дискетах или магнитооптических дисках часто обнаруживаются критически важные доказательства, о существовании которых подозреваемый мог давно забыть.

Работа с такими носителями требует не только наличия специфического оборудования, но и понимания принципов работы устаревших интерфейсов.

PATA (IDE)

Одним из самых распространённых устаревших стандартов, с которым эксперту придётся сталкиваться чаще всего, является интерфейс PATA, более известный как IDE. Несмотря на внешнюю простоту подключения через современные USB-мосты, этот интерфейс имеет ряд нюансов. Критически важным аспектом при работе с дисками IDE является конфигурация перемычек, определяющих роль накопителя как Master, Slave или Cable Select. В отличие от SATA, где подключение осуществляется в режиме «подключил – работает», неправильное положение джампера на диске PATA при подключении к блокиратору записи или адаптеру может привести к тому, что устройство не определится или будет работать некорректно.

Как правильно: используйте положение перемычки Master или Cable Select. В положении Slave диск с большой вероятностью не определится. Всегда сверяйтесь с наклейкой на самом корпусе жёсткого диска, так как универсального стандарта расположения пинов не существовало. Вот лишь один из примеров:

Кроме того, следует различать классический 40-контактный разъем для настольных ПК, требующий внешнего питания через Molex, и 44-контактный разъем для ноутбуков, где питание подаётся непосредственно через сигнальный шлейф. Попытка подключить 2.5-дюймовый диск к стандартному шлейфу без правильного переходника или перепутав полярность (ключи на старых разъёмах часто отсутствуют) может привести к необратимому повреждению электроники накопителя.

SCSI

Ещё более сложной задачей является работа с интерфейсом SCSI, который до сих пор встречается в серверном оборудовании прошлых лет, музыкальных семплерах и медицинских приборах. Этот стандарт отличается невероятным разнообразием физических коннекторов: от 50-контактных Centronics и DB-25 до коннекторов с высокой плотностью HD-50 и HD-68, а также серверных разъёмов SCA-80 с горячей заменой. Главная проблема при извлечении данных с таких дисков заключается не только в поиске физического переходника, но и в логике работы шины. Для успешного считывания данных цепь SCSI должна быть корректно терминирована, а каждому устройству должен быть присвоен уникальный идентификатор ID. Использование современных адаптеров USB-to-SCSI возможно, но они крайне редки, дороги и капризны в работе, поэтому для масштабных задач может иметь смысл сохранять в лаборатории старую рабочую станцию с PCI-контроллером SCSI.

FireWire

Отдельного упоминания заслуживает интерфейс FireWire, или IEEE 1394, который массово использовался в компьютерах Apple, видеокамерах и внешних накопителях до начала повсеместного распространения USB 3.0. Для криминалиста этот интерфейс интересен прежде всего возможностью прямого доступа к памяти и дискам старых компьютеров Macintosh в режиме Target Disk Mode. При работе с такими устройствами важно помнить о цепочечной топологии FireWire и возможности подачи высокого напряжения по шине, что требует осторожности при коммутации. Кроме того, старые внешние диски с этим интерфейсом часто содержат внутри обычные PATA или SATA накопители, поэтому в случае неисправности контроллера такого корпуса разумным решением будет извлечение диска и его прямое подключение через соответствующий блокиратор записи.

Флоппи-диски (дискеты)

Что касается сменных носителей, то, вопреки распространённому мнению, дискеты на 3.5 и 5.5 дюйма все ещё могут встречаться в лабораториях. Однако попытка прочитать старую дискету с помощью современного внешнего USB-флоппи-дисковода – это лотерея, в которой эксперт чаще всего проигрывает. Дешёвые современные приводы не умеют работать с нестандартным форматированием и плохо справляются с размагниченными дорожками. С учётом возраста гибких магнитных носителей для профессиональной работы с ними может потребоваться использовать решения, построенные на контроллерах, работающих на уровне магнитных потоков, таких как KryoFlux или Greaseweazle. Эти устройства позволяют считать побитовый образ поверхности диска независимо от логической структуры и файловой системы, что даёт шанс на восстановление данных даже с частично повреждённых носителей, которые в обычном режиме оказались бы нечитаемыми.

Iomega Zip и Jaz, магнитооптические диски (MO)

Накопители Iomega Zip и Jaz представляют собой отдельный класс устройств, базирующихся на технологии гибких магнитных дисков, но с гораздо более высокой плотностью записи. Основная проблема здесь кроется в физическом износе самих приводов, подверженных печально известному «щелчку смерти», который может физически уничтожить вставленный носитель. При поступлении таких картриджей на экспертизу критически важно иметь заведомо исправный, проверенный привод, желательно с интерфейсом SCSI или IDE, так как LPT-версии работают чрезвычайно медленно, даже если вам удастся их к чему-либо подключить.

Магнитооптические диски (MO), напротив, отличаются феноменальной надёжностью и долговечностью, поэтому данные на них, как правило, сохраняются в идеальном состоянии. Сложность заключается лишь в поиске совместимого привода, так как стандарты MO варьировались по физическому размеру и ёмкости от 128 МБ до нескольких гигабайт, и обратная совместимость гарантирована не всегда.

CD, DVD и Blu-ray

Оптические носители форматов CD, DVD и Blu-ray, хотя и знакомы каждому, также имеют свои подводные камни в контексте криминалистики. Основная угроза здесь – физическая деградация записываемого слоя и незакрытые сессии записи. Если диск был записан в режиме мультисессии и не финализирован, стандартный привод может увидеть только первую сессию или вовсе не распознать диск. В этом случае требуется использование специализированного ПО для поблочного считывания, либо приводов, поддерживающих чтение в режиме RAW.

Внимание: при работе с перезаписываемыми дисками (RW) обязательно использование аппаратного блокиратора записи SATA, поддерживающего оптические приводы.

Ленточные накопители

Наконец, ленточные накопители (стримеры) форматов остаются стандартом де-факто для архивного хранения данных в корпоративном секторе. Извлечение информации с них – всегда трудоёмкий процесс, требующий не только совместимого по поколению привода (приводы LTO обычно читают только своё поколение и два предыдущих), но и специализированного программного обеспечения, способного интерпретировать структуру записи, которая часто представляет собой последовательный поток данных без привычной файловой системы. В отличие от дисковых накопителей, лента требует линейного чтения, и создание полного образа может занять значительное время, в течение которого оборудование должно стабильно работать. Мы рекомендуем подходить к исследованию таких носителей только при наличии чёткого понимания – какие именно носители на каком именно оборудовании будут копироваться.

Заключение

Работа с устаревшими носителями может оказаться сложнее, чем кажется, и гораздо чаще, чем хотелось бы, для их чтения приходится использовать такую же устаревшую технику. Впрочем, для некоторых форматов и протоколов существуют современные аналоги, но из каждого правила есть исключения, и вполне может оказаться, что современные удешевлённые ридеры или адаптеры не в состоянии считать данные с изношенного, повреждённого или просто деградировавшего от старости носителя.