We kregen de vraag van een landmeter of we de data van zijn defecte Trimble Ranger konden recoveren.
Deze toestellen werken met flashgeheugen en windows Mobile.
Geen enkele datarecovery firma bleek dit te ondersteunen.
Voor ons terug een leuke uitdaging.
Probleem
was ook dat het toestel moest blijven werken, want het probleem was te
verhelpen met een software upgrade (die evenwel alle data wist).
We moesten dus delicaat te werk gaan.
We
begonnen met het uitlezen van het flashgeheugen van de Trimble.
Daarvoor werden de geheugenchips fysiek verwijderd en uitgelezen met een
externe lezer. Daarna werden ze teruggesoldeerd zodat het toestel terug
werkte.
Na analyse van het flashgeheugen blijkt dit te werken
met het bestandssysteem YAFFS2 (yet another flash file system). Een
vrij ongewoon bestandssysteem met vrijwel geen ondersteuning.
Daarenboven
blijkt dat Microsoft het niet zo nauw neemt met de YAFFS2 standaard en
er zijn eigen modificaties aan toegevoegd heeft.
In
samenspraak met een collega werd deze versie van YAFFS2 ontleed via
reverse engineering en er werd een programma geschreven om de bestanden
te extraheren uit de flash dumps.
Speciaal is hier ook dat zoals voor alle flash file systems er om de zoveel kilobyte een stuk ECC code is.
Ook hier moet rekening mee gehouden worden wil men geen corrupte data hebben.
Uiteindelijk hebben we na weken geduldig programmeren de data kunnen terughalen die mijn klant nodig had.
Benieuwd of we dit YAFFS2 bestandssysteem nog gaan tegenkomen. Het zou onder andere ook in sommige Android toestellen gebruikt worden.
Marc
Datarecuperatie bvba
dinsdag 6 oktober 2015
donderdag 1 oktober 2015
Schijf die van een concurrent komt; heeft van alles gedaan om recovery onmogelijk te maken
Recent kregen we een schijf binnen die bij een concurrent geweest was.
Onze client was niet tevreden over de voorgestelde prijs en besloot de schijf aan ons toe te vertrouwen.
Onmiddellijk toen de schijf bij ons binnenkwam zagen we dat er iets niet pluis was.
De ROM die op de printplaat zat was niet goed gesoldeerd, dat was al een eerste punt.
Toen we dat in orde gebracht hadden konden we via wat trukjes toegang krijgen tot de Service Area van de schijf. Dat zijn softwaremodules die op de platters staan en die nodig zijn voor een goede werking van de schijf.
De softwareversie van de ROM kwam niet overeen met die van de modules op de platters en de versie van de eerste kopie op de platters kwam niet overeen met die van de tweede kopie op de platters.
Kortom, ofwel was de rom niet origineel, ofwel waren (een deel van) de modules niet origineel.
Gelukkig hebben we de expertise in huis om hiermee om te gaan.
Conclusie: De rom was niet origneel, en een deel van de modules was vervangen door modules van een andere schijf. Gelukkig waren de essentiele modules nog origineel, anders was recovery onmogelijk geweest.
Na het vervangen van de modules met de verkeerde sw versie door de correctie sw versie en het vervangen van de rom konden we uiteindelijk toegang krijgen tot de data.
Zulke praktijken zijn helaas geen alleenstaand geval, en zijn een professioneel DataRecovery bedrijf onwaardig.
Onze client was niet tevreden over de voorgestelde prijs en besloot de schijf aan ons toe te vertrouwen.
Onmiddellijk toen de schijf bij ons binnenkwam zagen we dat er iets niet pluis was.
De ROM die op de printplaat zat was niet goed gesoldeerd, dat was al een eerste punt.
Toen we dat in orde gebracht hadden konden we via wat trukjes toegang krijgen tot de Service Area van de schijf. Dat zijn softwaremodules die op de platters staan en die nodig zijn voor een goede werking van de schijf.
De softwareversie van de ROM kwam niet overeen met die van de modules op de platters en de versie van de eerste kopie op de platters kwam niet overeen met die van de tweede kopie op de platters.
Kortom, ofwel was de rom niet origineel, ofwel waren (een deel van) de modules niet origineel.
Gelukkig hebben we de expertise in huis om hiermee om te gaan.
Conclusie: De rom was niet origneel, en een deel van de modules was vervangen door modules van een andere schijf. Gelukkig waren de essentiele modules nog origineel, anders was recovery onmogelijk geweest.
Na het vervangen van de modules met de verkeerde sw versie door de correctie sw versie en het vervangen van de rom konden we uiteindelijk toegang krijgen tot de data.
Zulke praktijken zijn helaas geen alleenstaand geval, en zijn een professioneel DataRecovery bedrijf onwaardig.
Abonneren op:
Reacties (Atom)