Poważne wyzwanie
Do naszego serwisu trafiają również przypadki, gdzie musimy odzyskać dane. W nasze ręce wpadł Pendrive nieznanego producenta, prawdopodobnie otrzymany przez klientkę jako materiał reklamowy z firmy Adamed. Niestety tego typu urządzenia produkowane są z myślą o najniższym koszcie produkcji. Jednak nigdy się nie poddajemy, zawsze próbujemy pomóc, chyba że nasze akcje są w stanie zaszkodzić.
Sprawdzamy co kryje się w środku
Po otwarciu urządzenia ukazał nam się niestety smutny widok, a konkretnie, kontroler pamięci zalany żywicą – tak zwany glut w środowisku elektroników. Nie wiadomo jakiego producenta jest kontroler.
Owszem, jest to najtańsza metoda na montaż układów scalonych na płytce, wystarczy przykleić wytrawiony krzem, wyprowadzić złącza do płytki oraz zalać żywicą – jednak w tym przypadku nie wiadomo z czym mamy do czynienia. Po drugiej stronie płytki znajduje się pamięć NAND, niestety podobnie jak w przypadku całego pendriva, jest to kość nieznanego producenta Dynet. Nawet Google nie jest w stanie stwierdzić co to za firma, ani nie posiadają własnej strony internetowej, a co dopiero myśleć o posiadaniu dokumentacji do układów.
Próbujemy odczytać pamięć konwencjonalnie
Problem z pendrivem pojawiał się zaraz po podłączeniu go do komputera. Urządzenie owszem było wykrywane, jednak po chwili eksplorator plików ulegał zawieszeniu, a dioda sygnalizująca pracę kontrolera migała bez przerwy. Zarówno pod Windowsem jak i Linuxem zachowanie było takie samo. Próbowaliśmy wykonać zrzut pamięci poprzez program DMDE ignorując błędy odczytu, jednak nie udało się odczytać ani jednego bajta pamięci. Po odłączeniu urządzenia od komputera, natychmiast wracała responsywność. Wszystkie te objawy wskazują na uszkodzenie kontrolera pamięci. Po dotknięciu „gluta” w czasie pracy wyraźnie czuć było jego temperaturę, zatem to kolejny znak, że kontroler nie ma się za dobrze.
A może niekonwencjonalny odczyt?
W związku z tym, że dane ciągle znajdują się na pamięci NAND. Wpadliśmy na pomysł bezpośredniego odczytu całej pamięci NAND i próby odzyskania danych na podstawie utworzonego obrazu. Problem pojawia się jednak jak odczytać taką pamięć nie znając szczegółowych danych dotyczących konfiguracji pamięci, ilości Bad Blocków, ilości stron oraz słów w pamięci. Jednak kod pamięci D27UCG8T2BTR jest bardzo podobny do H27UCG8T2BTR, jest to zaledwie jedna litera na początku, a taka pamięć z H na początku jest produkowana przez firmę Hynix. Spróbowaliśmy więc odczytać zawartość NAND z parametrami pamięci Hynix.
Udało się odczytać pamięć z parametrami pamięci Hynix! Cały zrzut pamięci 8GB został przez nas przeanalizowany specjalistycznymi programami. Będąc szczerymi, mieliśmy nadzieję, że skoro jest to tani pendrive, kontroler również będzie prosty – nie szyfrowany, bez korekcji błędów ani bez XOR. Jednak po przeszukaniu zrzutu pamięci na wszystkie możliwe partycje nie otrzymaliśmy żadnego wyniku. Być może pamięć była szyfrowana, lub na odczyt pamięci wewnątrz kontrolera nakładana jest specjalna bramka XOR. Niestety w naszych warunkach pomimo szczerych prób nie byliśmy w stanie odzyskać danych z urządzenia. Być może kiedyś będzie na stać na Rusolut Visual NAND Reconstructor, ale jest to baaaardzo odległa przyszłość 😉 Wtedy odzyskanie danych z takiego urządzenia nie będzie stanowiło większego problemu, gdyż poprzez to urządzenie da się witrualnie odtworzyć cały kontroler pamięci.
