Восстановление данных с зашифрованных дисков Western Digital

Многие рядовые пользователи даже не подозревают, что их любимые жесткие диски могут хранить всю информацию внутри себя в зашифрованном виде. Чаще всего используется AES шифрование с ключом 128 или 256 bit. Шифрование и расшифровка ведётся «на лету», прозрачно для пользователя, на аппаратном уровне. Когда-нибудь к этому приведут и накопители с sata (sas) интерфейсом в массовом порядке, я думаю. Но пока что на практике приходится сталкиваться с такой ситуацией во время выполнения восстановления данных с внешних жестких дисков. Как правило, это диски производителя Western Digital. Лично мне, другие аппаратно шифрующие пользовательскую информацию HDD, пока не попадались. На подходе, впрочем, Seagate Enterprise Performance 10K с FIPS 140-2 шифрованием, но в наш СЦ они пока не поступали.

Функция шифрования реализована в мосте, который выступает посредником между USB и SATA интерфейсами. Наиболее распространенными м\с-шифровальшиками являются INITIO Inic-1607E, SymWave SW6316 и JMicron JMS538S Далеко не всегда, когда вы обнаруживаете на плате (в случае дисков 2,5" форм-фактора) или на переходнике такой мост, означает, что данные на поверхности шифрованы. Но убедиться в этом достаточно просто. Открываем в обход моста ,к примеру, 0-й сектор в hex-редакторе, и вместо узнаваемого MBR

видим вот такое:

Особое расстройство такая картина вызывает в тех случаях, когда либо выгорела оригинальная плата\переходник и потребовалась новая. Либо у диска были неисправны головки чтения\записи и после замены, вознамерившись было читать информацию в технологическом режиме с учётом структуры файловой системы, мы понимаем, что со структурой вышла неувязочка.

Увы, в такой ситуации, когда диск работает нестабильно после работ в гермозоне, приходится делать полную посекторную копию с последующим её разбором. Нетрудно догадаться, что сделав копию, специалист по восстановлению данных с шифрованного диска столкнётся с ситуацией, когда придется получить расшифрованное содержимое HDD. Есть несколько подходов для решения такой проблемы. Один из самых примитивных — отыскать точно такой же, полностью исправный диск, и делать клон на него, с тем отличием, что писать надо в обход моста, непосредственно через SATA. После завершения клонирования, подключить USB мост, который все расшифрует. Такая методика неплохо себя зарекомендовала для мостов INITIO и SymWave. Там вся информация доступна без дополнительных телодвижений, при условии что LBA у source и destination дисков полностью совпадает и ключ шифрования скопирован. При полной посекторке, даже при наличии некоторого числа бэд-блоков, так обычно и бывает. У дисков с мостом JMS538S всё не так просто. Главная сложность при использовании такой методики - иметь в наличии точно такой же, полностью рабочий драйв.

Более продвинутый и удобный способ, который использую лично я, это делать клон на обычный 3,5" SATA диск и для расшифровки юзать переходник для 3.5" дисков. Опять же, мосты Inic 1607E и SW6316 никаких проблем в этом смысле не подбрасывают. Для моста JMS538S приходится каждый раз брать модуль с ключом шифрования из служебной области поврежденного диска и писать его в ПЗУ переходника в правильное смещение. Отдельно хочу заметить - перепайка ПЗУ, того которое с ключом, от пациента на переходник чаще всего не помогает! Диск определится в диспетчере устройств как WD HARDWARE ERROR и не даст доступа к пользовательской области.

Все, что требуется для чтения шифрованных HDD Western Digital

Так же хочу отметить привязку ПЗУ с ключом шифрования к серийному номеру накопителя. На практике мне не приходилось приводить их во взаимное соответствие, но в теории может быть такая ситуация, когда для получения возможности скопировать пользовательские файлы это придётся сделать.