❎ Введение в технический анализ носителей. Настоящая статья представляет собой глубокое техническое описание процедуры, известной как экспертиза жесткого диска. Рассматриваются физические принципы работы накопителя на магнитных пластинах, типовые неисправности электронных и механических узлов, алгоритмы посекторного копирования, а также методы программно-аппаратного восстановления информации. Материал ориентирован на инженеров, специалистов по компьютерной криминалистике и системных администраторов. Каждый раздел содержит от 200 до 500 символов, используется деловой технический стиль. Все термины приведены на русском языке. Описываются только те методы, которые реально применяются в лабораторных условиях.

❎ Физическое устройство накопителя. Для понимания экспертизы жесткого диска необходимо знать его конструкцию. Внутри гермоблока находятся:

• магнитные пластины (от одной до пяти) из алюминия или стекла с ферромагнитным покрытием.
• шпиндельный двигатель (трёхфазный бесколлекторный мотор) на 5400, 7200 или 10000 оборотов в минуту.
• блок магнитных головок (БМГ) с числом головок от одной до десяти.
• предусилитель-коммутатор (чип, расположенный на гибком шлейфе БМГ).
• постоянный магнит и катушка позиционера (голосовая катушка).
• фильтр рециркуляции и адсорбер для очистки воздуха.
• соединительные шлейфы и разъемы.

Пластины покрыты слоем магнитно-мягкой подложки и магнитно-жесткого рабочего слоя. Запись осуществляется перемагничиванием доменов. Современные накопители используют перпендикулярную запись, где векторы намагниченности направлены вертикально. При повреждении любого из этих узлов проведение экспертизы жесткого диска требует вскрытия гермоблока в ламинарном шкафу класса 100. Без этого невозможно заменить головки или извлечь пластины для чтения на специальном оборудовании.

❎ Сервометки и низкоуровневое форматирование. Точное позиционирование головок обеспечивается сервометками. Это магнитные метки, записанные на заводе-изготовителе. Сервометки образуют радиальные линии (спицы), их количество может достигать нескольких сотен тысяч. Между сервометками располагаются области данных. При экспертизе жесткого диска эксперт анализирует состояние сервометок. Если они повреждены (удар головки о пластину, термическое воздействие), накопитель не может определить свое положение и издает характерные звуки повторной парковки. Восстановить сервометки в полевых условиях невозможно, так как требуется заводское оборудование для записи служебной информации. Однако программно-аппаратные комплексы (ПиСи-3000, Атола) позволяют в некоторых случаях адаптировать накопитель для чтения данных с пропуском зон с поврежденными сервометками.

❎ Электронные компоненты печатной платы. Печатная плата жесткого диска содержит следующие элементы:

• контроллер (система на кристалле, процессор и интерфейс САТА).
• микросхема постоянного запоминающего устройства (ПЗУ) с прошивкой.
• микросхема буферной памяти (кэш) типа ДДР2 или ДДР3.
• драйвер шпиндельного двигателя (чип, преобразующий напряжение питания).
• драйвер голосовой катушки (часто интегрирован с контроллером).
• защитные диоды от перенапряжения (ТВС-диоды).
• кварцевый резонатор для тактирования.

При выгорании ТВС-диодов достаточно их удаления или замены. При пробое драйвера двигателя требуется перепайка чипа или замена всей платы с переброской ПЗУ. Микросхема ПЗУ хранит уникальные адаптивы: коэффициенты усиления для головок, карту дефектов, параметры сервосистемы. Без этих данных экспертиза жесткого диска невозможна, так как накопитель не сможет правильно интерпретировать сигналы с поверхности.

❎ Прошивка и служебная зона. Каждый накопитель содержит в служебной зоне (Сервис Эриа) калибровочные данные. Это:

• коэффициенты усиления для каждой головки.
• параметры коррекции ошибок (ЕСС).
• карта заводских дефектов (П-лист) и дефектов, возникших при эксплуатации (Джи-лист).
• адаптивы сервосистемы.
• таблицы преобразования логических адресов в физические (ЭлБиЭй в СиЭйчЭс).
• журналы самотестирования (СМАРТ).

При выходе из строя ПЗУ или повреждении служебной зоны требуется восстановление прошивки через программатор. Наше учреждение имеет программаторы для микросхем в корпусах СОИК-8 и ВСОН-8. Также используются специальные команды через интерфейс САТА для загрузки микрокода в оперативную память накопителя. Без прошивки экспертиза жесткого диска не может быть выполнена.

❎ Механические неисправности: диагностика и решения. Рассмотрим типовые механо-физические поломки:

• залипание головок (стиксион) из-за высыхания смазки или микрошероховатостей.
• повреждение подшипника шпинделя (износ, люфт, разрушение сепаратора).
• деформация пластин после удара во время работы.
• отрыв или деформация блока головок.
• разрушение магнита позиционера.

Диагностика механики проводится методом прослушивания (стетоскоп), контроля тока потребления шпинделя и анализа сигнала с датчика Холла. При залипании головок нельзя принудительно вращать шпиндель — это повредит пластины. Используется аккуратное проворачивание через технологическое отверстие или замена головок в ламинарном шкафу. Замена головок требует донорского накопителя точно такой же модели и ревизии. После замены проводится калибровка. Наше учреждение имеет набор доноров и ламинарный шкал класса 5.

❎ Электрические и логические неисправности. Вторая группа неисправностей, с которой сталкивается экспертиза жесткого диска:

• короткое замыкание по питанию (измеряем сопротивление между линиями 5В и 12В).
• выход из строя контроллера (нагрев выше 80 градусов).
• повреждение ПЗУ (некорректная контрольная сумма).
• разрушение служебных областей из-за магнитного поля или сбоя питания.
• заражение вирусом-вымогателем, шифрующим главную таблицу файлов.
• повреждение таблиц разделов (МБР или ДжиПиТи).
• разрушение загрузочного сектора файловой системы.

Логические неисправности часто лечатся программно: перестроением таблиц разделов утилитами ТестДиск, восстановлением загрузочных секторов, применением караванинга. Электрические требуют пайки. Контроллер меняется только с донорской платы и после перепайки ПЗУ, поскольку микрокод привязан к конкретному экземпляру накопителя. При экспертизе жесткого диска важно правильно классифицировать тип неисправности.

❎ Создание посекторного образа через блокиратор записи. Перед началом активных действий создается образ. Процедура:

• накопитель подключается через аппаратный блокиратор записи (например, Тейбл Френсик Бридж).
• запускается программа для создания образа (ддрескью под Линукс, или ПиСи-3000 Диск Имиджер).
• задается путь к файлу образа (формат raw .img или сжатый .е01).
• производится чтение сектор за сектором. При ошибках делаются повторные попытки (2-3).
• битые сектора заменяются нулями или специальным шаблоном.
• после завершения вычисляются хэш-суммы (МД5, ША-1) исходного диска и образа.

Хэши должны совпадать. Далее вся экспертиза жесткого диска производится только с образом. Оригинал опечатывается и сдается в сейф. Это обязательное условие для сохранения доказательственной силы. Без блокиратора записи существует риск случайного изменения данных.

❎ Анализ главной загрузочной записи и таблицы разделов. После получения образа эксперт анализирует нулевой сектор (ЭлБиЭй 0). Он содержит:

• главную загрузочную запись (МБР) — загрузочный код и таблица разделов (четыре записи по 16 байт).
• сигнатуру 0х55АА в байтах 510-511.

Если сигнатура отсутствует — разделы удалены или диск был очищен. При наличии ДжиПиТи (Глобальная таблица разделов) нулевой сектор содержит защитный МБР, а настоящая таблица разделов расположена в секторе 1 и дублируется в последних секторах диска. Для экспертизы жесткого диска критично правильно определить смещение начала первого раздела. Обычно это сектор 2048 (для современных дисков) или 63 (для старых). Затем анализируется загрузочный сектор раздела (Биос параметр блок), который указывает тип файловой системы (ЭнТиЭфЭс, ФАТ32, ексФАТ), размер кластера, количество секторов в томе.

❎ Разбор файловой системы NTFS. Наиболее частая файловая система. Ключевые структуры для экспертизы жесткого диска:

• главная таблица файлов (ЭмЭфТи) — записи о каждом файле и папке (размер записи 1024 байта).
• атрибуты записи: $СТАНДАРТ_ИНФОРМАЦИЯ (времена, флаги), $ИМЯ_ФАЙЛА (имя, времена из ЭмЭфТи), $ДАННЫЕ (содержимое для маленьких файлов), $БИТМАП (битовая карта занятости кластеров).
• журнал $ЛогФайл для восстановления после сбоя.
• журнал изменений $ЮснЖрнл.
• резервная копия первых записей ЭмЭфТи ($ЭмЭфТиМирр).

При удалении файла запись ЭмЭфТи помечается как свободная, а битмап освобождает кластеры. Содержимое не затирается. Задача экспертизы жесткого диска — найти запись ЭмЭфТи до её перезаписи и извлечь ссылки на кластеры. Если запись перезаписана, применяется караванинг.

❎ Восстановление данных с FAT32 и exFAT. Старые или малые накопители используют эти файловые системы. Особенности:

• ФАТ32 имеет таблицу размещения файлов (ФАТ), которая хранит цепочки кластеров. Удаление файла заменяет первый символ имени на 0хЕ5, а в ФАТ цепочка обнуляется.
• ексФАТ работает с битмапом, а не с цепочками. Удаление очищает битмап и запись в каталоге.

Восстановление удаленного файла на ФАТ32 возможно, если цепочка кластеров не перезаписана. Эксперт сканирует ФАТ на предмет непрерывных последовательностей свободных кластеров. Для ексФАТ применяется поиск записей в каталогах. Экспертиза жесткого диска с ФАТ32 обычно проще, чем с ЭнТиЭфЭс, но успех сильно зависит от фрагментации. При сильной фрагментации цепочка может быть разорвана.

❎ Караванинг (восстановление по сигнатурам). Когда файловая система разрушена, используется караванинг. Алгоритм:

• образ сканируется последовательно, байт за байтом.
• программа ищет известные сигнатуры (магические числа) начала файлов.
• после нахождения сигнатуры начинается чтение до сигнатуры конца или до максимального размера.
• извлеченный блок сохраняется как файл.

Сигнатуры для экспертизы жесткого диска:

• ПДФ — заголовок 0х25504446 (строка «%PDF»).
• ДжиПЕГ — заголовок 0хФФД8, окончание 0хФФД9.
• ПНГ — 0х89504Е47.
• ЗИП — 0х04034Б50 (также для документов Офис).
• ЭмПи3 — ИД3-тег или синхрослово 0хФФФБ.

Караванинг не восстанавливает имена файлов, только содержимое. Для доказательств часто достаточно содержимого. Наше учреждение использует скрипты на языке Питон с библиотекой пикарвинг.

❎ Анализ временных меток (МАС-атрибуты). В ЭнТиЭфЭс для каждого файла хранятся четыре временные метки в атрибуте $СТАНДАРТ_ИНФОРМАЦИЯ:

• время создания.
• время последней модификации содержимого.
• время последнего доступа.
• время изменения метаданных.

Атрибут $ИМЯ_ФАЙЛА хранит три времени (создание, модификация, доступ). При экспертизе жесткого диска эксперт извлекает обе группы. Если времена различаются более чем на несколько секунд, это указывает на умышленное изменение (таймстемпинг). Анализируются также времена в $ЛогФайл и $ЮснЖрнл. Несовпадения могут быть уликой в судебном споре. Например, файл создан в 2023 году, а временная метка утверждает 2020 год.

❎ Реестр Windows: ключи и кусты. Реестр — бинарные файлы. Основные кусты:

• Сэм — учетные записи, хэши паролей.
• Секьюрити — политики безопасности.
• Софтвэар — установленное ПО, настройки.
• Систем — параметры загрузки, службы, драйверы.
• ЭнТиЮзер.Дат (для каждого пользователя) — персональные настройки.

Кусты имеют внутреннюю структуру: ячейки, записи, ключи, значения. В рамках экспертизы жесткого диска извлекаются сведения о подключенных ЮСБ-устройствах (ветка ЮСБСТОР), о последних открытых документах (РесентДокс), об историях поиска (КомДлг32), о сетевых подключениях. Для парсинга используется утилита РегРиппер. Наше учреждение также использует самописные скрипты для работы с бинарным форматом.

❎ USB-артефакты: глубокий анализ. Виндовс фиксирует каждое подключение ЮСБ-накопителя. Следы находятся в:

• ХКЛМ\СИСТЕМ\ТекущийКонтролСет\Энум\ЮСБСТОР — серийный номер, модель.
• ХКЛМ\СИСТЕМ\ТекущийКонтролСет\Контрол\ДевайсКлассес — символические ссылки.
• СетапАпи.лог — журнал установки драйверов (время первого подключения).
• файлы .ЛНК (ярлыки) — содержат серийный номер тома ЮСБ-устройства.

При экспертизе жесткого диска парсятся все перечисленные источники. Даже если пользователь очищал историю, в реестре остаются бинарные следы. Наше учреждение разработало собственный парсер для извлечения ЮСБ-артефактов из неструктурированных данных. Это позволяет установить факт подключения конкретной флешки.

❎ Файл подкачки и файл гибернации. Файл подкачки (пейджфайл.сис) и файл гибернации (хиберфил.сис) содержат фрагменты оперативной памяти. Они могут включать:

• пароли в открытом виде или хэшированные.
• содержимое открытых документов.
• ключи шифрования.
• историю нажатий клавиш.

Оба файла имеют нестабильную структуру. Для анализа применяется утилита Волатилити (анализ дампов памяти) или простой строковый поиск (команда стрингс). В рамках экспертизы жесткого диска мы обязательно включаем эти файлы в область сканирования. Полезность информации из пейджфайл.сис высока: там могут оказаться фрагменты, которые никогда не сохранялись на диск.

❎ Восстановление после быстрого форматирования. Быстрое форматирование перезаписывает только служебные структуры (МБР, загрузочный сектор, очищает ЭмЭфТи или ФАТ). Данные остаются. Алгоритм:

• сканируем весь диск на предмет заголовков ЭнТиЭфЭс (сигнатура «NTFS» в секторе 3). Определяем смещение раздела.
• восстанавливаем загрузочный сектор из резервной копии (последние сектора тома).
• восстанавливаем ЭмЭфТи из $ЭмЭфТиМирр.
• запускаем программу восстановления (например, ГетДатаБэк или Ар-Студио), которая заново строит дерево каталогов.

Успех экспертизы жесткого диска после быстрого форматирования близок к 100%, если не было записи новых данных. При перезаписи ЭмЭфТи восстановление становится частичным. Чем раньше произведено исследование, тем лучше.

❎ Восстановление после полного форматирования. Полное форматирование в Виндовс 7 и старше записывает нули во все сектора. В Виндовс 10 и 11 полное форматирование может быть быстрым с последующей проверкой. Фактически данные стираются только при использовании утилит типа «клиан олл» в диспарт. Если диск очищен утилитами типа ДиБиЭйЭн, восстановить информацию невозможно. Однако часто встречается форматирование с проверкой, где записываются только секторы с метаданными. В такой ситуации экспертиза жесткого диска может извлечь часть данных караванингом. Вероятность успеха зависит от того, насколько равномерно были перезаписаны секторы.

❎ Работа с RAID-массивами. Если накопитель входил в состав РАИД, задача усложняется. Необходимо:

• определить тип РАИД (0, 1, 5, 6, 10, 50, 60).
• вычислить размер блока чередования (стрип сайз) — обычно 64 Кбайт, 128 Кбайт.
• восстановить порядок дисков.
• собрать виртуальный массив программно (через ЮЭфЭс Эксплорер РАИД Рикавери).
• применить стандартные методы восстановления.

При повреждении одного диска в РАИД 5 возможно восстановление с использованием четности. Экспертиза жесткого диска из состава РАИД требует анализа суперблоков контроллера (метаданных), которые хранятся в первых или последних секторах каждого диска. Наше учреждение имеет опыт восстановления массивов ЭлЭсАй МегаРАИД, Делл ПЕРС, ЭйчПи Смарт Эррей.

❎ Шифрование: BitLocker, VeraCrypt, LUKS. Если диск зашифрован, прямое чтение невозможно. Задача:

• идентифицировать тип шифрования по сигнатурам. БитЛокер имеет заголовок «-ФВЕ-ФС-».
• запросить у заказчика пароль или ключ восстановления.
• при наличии дампа оперативной памяти попытаться извлечь ключи (Волатилити).

Без ключа экспертиза жесткого диска шифрованного тома ограничивается констатацией факта шифрования. Наше учреждение не занимается брутфорсом без согласия заказчика и в рамках закона. В судебной практике заказчик обязан предоставить ключ, если он имеется.

❎ Анализ интернет-активности на уровне файлов. Браузеры хранят историю в файлах формата СКуЛайт. Даже после удаления записей файлы могут сохранять фрагменты. Эксперт:

• копирует файлы истории (Хистори, Плэйсес.склайт).
• открывает в СКуЛайт-браузере.
• извлекает таблицы URLS, visit, downloads
• ищет удаленные записи.

Кроме того, анализируется кэш браузера. В процессе экспертизы жесткого диска мы извлекаем весь кэш и проводим строковый поиск. Это позволяет восстановить ЮРЛ-адреса, которые пользователь пытался скрыть. Даже очистка истории через интерфейс браузера не всегда удаляет файлы кэша.

❎ Системные журналы (логи) Windows. Журналы событий хранятся в файлах .евтх. Они содержат:

• идентификатор события — например, 4624 (успешный вход), 4625 (неудачный вход).
• дату и время.
• имя пользователя, имя компьютера.
• путь к процессу.

Для парсинга .евтх используется утилита ЕвтксЕкмд. Экспертиза жесткого диска с анализом логов позволяет восстановить хронологию действий. Логи не очищаются стандартными средствами без прав администратора. Даже при очистке остаются фрагменты в нераспределенном пространстве. Наше учреждение умеет извлекать эти фрагменты.

❎ Досудебное исследование: цены и сроки. Для физических и юридических лиц доступна досудебная экспертиза жесткого диска. Цены фиксированные:

• без разбора гермоблока (только логический анализ) — 5 000 рублей.
• с разбором устройства в ламинарном шкафу — от 10 000 до 15 000 рублей.

Срок выполнения: от 2 до 10 рабочих дней. Вы получаете акт специалиста на бумажном носителе. Если дело дойдет до суда, наш эксперт вызывается для пояснений. Судебная экспертиза оплачивается отдельно по смете, но все издержки взыскиваются с проигравшей стороны. То есть ваши затраты вернутся через несколько месяцев после вынесения решения.

❎ Почему именно наше учреждение. Мы обладаем самым современным оборудованием: три комплекса ПиСи-3000, ламинарный шкаф класса 5, программаторы чипов ПЗУ, набор донорских накопителей. Наши инженеры имеют стаж от 7 лет. Мы беремся за сложные случаи: накопители после пожара, залития, удара. Мы гарантируем конфиденциальность и сохранность исходных данных. Ни одна другая компания не предоставляет таких гарантий. У нас быстро, недорого и профессионально.

❎ Ссылка на услугу нашего центра. Если вам требуется качественная техническая и юридически значимая экспертиза жесткого диска — обращайтесь в наш экспертный центр. Мы проведем полный цикл работ: от диагностики до выдачи заключения. Вы будете полностью довольны результатом. Закажите экспертизу сегодня. Чем раньше вы обратитесь, тем выше шанс на успех. Ждем вас в нашей лаборатории. Работаем по всей стране.