Phục hồi dữ liệu khi bị xóa trên SSD

 

Mình thường xuyên nhận được các yêu cầu nhờ hỗ trợ xử lý các trường hợp mất dữ liệu trên SSD hiện nay. Nguyên nhân dẫn đến mất dữ liệu trên SSD thì vô số: Xóa nhầm, lỗi Firmware, lỗi Controller, Bad Block v.v…Trong bài này, mình sẽ tập trung về nguyên nhân chủ quan: xóa, format, cài lại hệ điều hành v.v… dẫn đến mất dữ liệu và cách phục hồi dữ liệu đó như thế nào?

Hầu hết những người gọi cho mình để đề nghị hỗ trợ cứu dữ liệu khi xóa nhầm như trên, mình đều nhắc mọi người một câu (trăm người như một): “Anh, chị tắt giúp em máy tính, tháo SSD hoặc tháo pin, dây sạc ra khỏi máy (nếu SSD không thể tháo)”. Vì sao lại phải thế? Mình đã nhiều lần giải thích sơ bộ nhưng đây sẽ là lần giải thích chi tiết cho các bạn biết về lý do cũng như quy trình xử lý, phục hồi dữ liệu trên SSD của mình.

Trước hết, tìm hiểu lý do vì sao cần phải ngắt nguồn điện cấp cho SSD?

Như các bạn đã biết, hầu hết SSD hiện nay đều hỗ trợ TRIM một tính năng giúp cho SSD tăng tốc độ đọc, ghi dữ liệu và cũng giúp phần đáng kể tăng tuổi thọ của SSD.

SSD TRIM

Ta có thể nhìn qua hình trên để hiểu cách thức mà TRIM hoạt động.

Tính năng này sẽ giúp các block nand sẽ ít bị ghi hơn, tốc độ đọc dữ liệu, ghi dữ liệu cũng nhanh hơn rất nhiều nhưng: dữ liệu đã xóa sẽ không thể cứu được khi TRIM hoạt động.

Lệnh TRIM bắt đầu hoạt động ngay khi lệnh xóa dữ liệu, format dữ liệu được thực thi. TRIM sẽ tiến hành sắp xếp lại các block một cách tuần tự, im lặng và không ồn ào. Ta vẫn làm việc bình thường mà không nhận ra, dữ liệu trên các block của SSD đang được sắp xếp lại. Do vậy, dữ liệu bị xóa sẽ lần lượt “bị xóa” một cách thật sự khi TRIM hoạt động.

=>> TRIM có thể bị ngăn lại bằng cách đơn giản: ngắt nguồn điện đến SSD.

Nhiều bạn, do chưa hiểu bản chất nên vẫn cố gắng chạy các công cụ cứu dữ liệu, điều này càng làm cho dữ liệu của bạn mất vĩnh viễn nhanh hơn, triệt để hơn. Thậm chí có một số bạn còn hoài nghi khi mình đề nghị ngắt nguồn vì nghĩ rằng, các bạn ấy vừa xóa thì chạy phần mềm là cứu lại được, chỉ cần tìm được phần mềm xịn trên mạng là xong.

=>> Việc ngắt nguồn điện cho SSD vô cùng quan trọng trong việc ngăn TRIM hoạt động cũng như phục vụ cho công việc cứu dữ liệu khi bị xóa nhầm trên SSD và việc này cần phải làm càng sớm càng tốt kể từ khi dữ liệu bị xóa.

Đến đây, nhiều bạn cũng hỏi, ngắt điện đến SSD để ngăn TRIM hoạt động. Thế thì cứu dữ liệu làm sao khi SSD không được bật?

Chúng tôi có câu trả lời cho bạn: “Factory Access Mode” (FAM) của SSD sẽ giúp việc tạo file ảnh toàn bộ SSD mà không kích hoạt TRIM.

FAM là gì?

FAM (viết tắt của FACTORY ACCESS MODE) được sử dụng bởi mọi loại SSD, USB, EMMC, thẻ nhớ SD và các loại thiết bị lưu trữ dữ liệu khác có sử dụng các Controller (MicroController) để sắp xếp, mã hóa dữ liệu ghi vào chip nhớ NAND.

FAM có rất nhiều tính năng nhưng với nghề của mình thì mình chỉ lưu tâm đến một số tính năng như:

  • Đọc dữ liệu thô trên các block (Physical data blocks). Các block được đọc một cách hoàn chỉnh đầy đủ. Điều này giống như chipoff mà không cần phải tách chip ra khỏi mạch. Có một lưu ý nhỏ, dữ liệu thô này được mã hóa và không thể giải mã được, ngay cả khi MEK (Media Encryption Key) không được mã hóa.
  • Đọc Logical Data Block. Tính năng này hỗ trợ giải mã Page và Block, chuyển đổi các Page đã được mã hóa và thực hiện chỉnh sửa ECC. Ngoài ra, các ổ SSD có mã hóa phần cứng sẽ giải mã dữ liệu đã được mã hóa (nếu sử dụng MEK – khóa mã hóa phương tiện mặc định). Nói cách khác, đây là cách dễ nhất để đọc dữ liệu trên ổ SSD bao gồm các khối đã bị TRIM xóa một phần dữ liệu.
  • Đối với các ổ SSD được mã hóa: tìm kiếm mô-đun chứa khóa mã hóa phương tiện (MEK). Trong một số trường hợp cài lại hệ điều hành (Windows 10) mà xảy ra tình trạng SSD bị mã hóa do Bitlocker, tính năng này của FAM có thể giúp mình lấy được mật khẩu để truy cập lại vào dữ liệu của Khách. Lý do đơn giản: Windows 10 sẽ sử dụng tính năng mã hóa tích hợp của SSD thay vì dùng CPU để mã hóa.
  • Truy cập SMART.
  • Truy cập (tra cứu và đọc) SA, Firmware và Translation Tables

Để có thể truy cập vào SSD thông qua FAM không phải là việc mà một người dùng thông thường có thể thực hiện bằng cách Google, bằng Youtube hay bằng các công cụ tải miễn phí trên mạng. Việc này cần kiến thức và các công cụ chuyên dụng như:

Nhíp kỹ thuật

Vừa đùa vừa thật, đây là công cụ quan trọng để có thể giúp mình truy cập vào SSD thông qua FAM.

Bằng cách sử dụng PC-3000 Express System và PC3000 SSD cài đặt trên hệ thống, kết hợp với công cụ chuyên dụng “nhíp kỹ thuật” ở trên. Ta có thể truy cập vào SSD thông qua FAM như sau:

Truy cập SSD thông qua FARM bằng "nhíp kỹ thuật"
Truy cập SSD thông qua FAM bằng “nhíp kỹ thuật”

Khi đã truy cập được vào SSD thông qua FAM, bằng kỹ thuật cũng như các công cụ khác nhau, mình sẽ tiến hành:

+ Đọc firmware, SA;

+ Xây dựng lại các bảng dịch nếu có thể;

+ Upload microcode vào RAM;

+ Upload các bảng dịch và các dữ liệu khác của hệ thống;

+  Khởi động controller bằng code đã upload;

+ Sử dụng FAM để truy cập và tạo file ảnh của SSD.

=>> Đến đây, quá trình cứu dữ liệu cơ bản đã hoàn thành nếu không có yếu tố bất ngờ nào khác.
Tham khảo một số case khá hóc búa mình đã cứu lại dữ liệu: https://htigroup.vn/home/vi/category/blog/

Nếu bạn lỡ tay, không may bị mất các dữ liệu quan trọng do xóa nhầm, do máy bị lỗi hay do bất cứ các yếu tố không may nào xảy đến như cháy nổ,… mình khuyên các bạn nên thực hiện các hướng dẫn của mình như trên để bảo toàn dữ liệu tối đa. Nếu không đủ kỹ thuật để khôi phục lại dữ liệu, bạn nên gửi ổ SSD để mình kiểm tra và cứu lại dữ liệu.

Tham khảo bảng giá khôi phục dữ liệu SSD: https://htigroup.vn/home/vi/phuc-hoi-du-lieu-dien-tu/

Các bạn có thể liên hệ mình thông qua địa chỉ và liên hệ sau:

Tạ Thanh Data – Trung tâm dịch vụ và hỗ trợ kỹ thuật HTI
Tầng 15 – VP2, Tòa nhà Sun Square, Số 21 Lê Đức Thọ, Phường Mỹ Đình 2, Quận Nam Từ Liêm, Hà Nội
Hotline: 0928.765.688
Để trao đổi kinh nghiệm, hỏi thêm một số vấn đề khác, bạn có thể vào page: https://www.facebook.com/tathanh.data/

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *