Восстановление данных с Seagate Secure SED

По скайпу обратились с просьбой в удалённой помощи с восстановлением данных из одной южнокорейской дата-рекавери компании. Такие просьбы из разных стран мира мне поступают регулярно, но с озвученной проблемой ранее сталкиваться не приходилось.

Речь шла о Seagate Rosewood AF линейки Seagte Secure™, который определялся нормальным паспортом но при попытке чтения пользовательской области выдавал ошибку с кодом ABR.

Подключившись к рабочей станции братьев-корейцев через AnyDesk, убедился в наличии проблемы, и зарезервировав служебную информацию (сохранив FID и ID модули, ПЗУ и скомпилировав загрузчик-loader), начал изучение вопроса. Переключаем сервисный терминал в Diag Mode, вводим запрос на получение информации о диске и смотрим ответ:

Prod Desc: Janus.R1.SATA.Rosewood.Mule.Servo376.Rap30.4K + SMR Despo DFW BP6
Package Version: R1AEA0684.SDM4.AA0111.SED1    
Serial #: WKPMQ3K6
Changelist: 02076064
Model #: ST1000LM037-1RC172             
ID: 100
Servo FW Rev: 847F
Heads: 2
PCBA SN:     K13984E4
Default factory config: SED
Active config: SED

В самом конце показана информация об активной конфигурации диска — SED, т.е. Seagate Secure Self-Encrypting Drive. Диски данной линейки используют криптографический модуль FIPS 140-2, с поддержкой функций «Seagate Instant Secure Erase», которая позволяет моментально уничтожить доступ к читаемой информации путём стирания ключа шифрования и «Auto-Lock», которая автоматически блокирует диск и защищает данные в тот момент, когда диск удаляется из системы или когда диск или система отключаются.

В самом начале я упомянул, что ранее с такой задачей сталкиваться не приходилось, но как я уже когда-то писал — часто клиенты спрашивают «а вы уже делали то-то и то-то?» интересуясь перспективами решения их проблемы нашими силами. И я всегда отвечаю: совершенно не важно, видели и решали ли мы с данную конкретную проблему «до», куда важнее, что мы в состоянии исследовать и решить проблему, столкнувшись с задачей впервые!

По итогам исследований выяснилось, что у Seagate SED есть два статуса защиты «General LockingLevel», которые могут иметь статус 0x81 «Locked» и 0x80 «UnLocked», поменяв один на другой можно управлять блокировкой и разблокированием диска, кроме того диск сохраняет кэшированные ключи шифрования в служебной области, и при наличии актуального кэш-файла, нужный ключ шифрования можно выделить из кэша и записать на место перезаписанного или повреждённого.

Не всё так просто, конечно. В частности, могу и ошибаться, но насколько я смог понять, для успешного восстановления данных с Seagate SED критически важным является наличие оригинальной платы электроники (процессора), так же, как и у Western Digital, кроме того, если просто убрать SED DataLock статус, то вместо реального содержимого пользовательских данных будет виден «белый шум», т.к. ключ шифрования дополнительно закрыт хэшем учётных данных.

Ну а в данном конкретном случае корейцы, до того как обратились ко мне, ещё и самостоятельно пробовали пересчитывать диску транслятор и обнулять медиа-кеш, что дополнительно привело к ошибке «Failed State», которую пришлось сперва найти а потом сбросить дополнительно.

В общем, по итогу исследований доступ к пользовательским данным удалось получить в полной мере: