การกู้ข้อมูลจากฮาร์ดดิสก์ที่ถูกน้ำท่วม
จากเหตุการณ์น้ำท่วมที่ผ่านมา ส่งผลให้คอมพิวเตอร์ของหน่วยงาน สถานประกอบการ หรือบุคคลทั่วไป หลายแห่งจมอยู่ใต้น้ำ ซึ่งอาจมีข้อมูลที่สำคัญอยู่ในฮาร์ดดิสก์ และมีความจำเป็นต้องทำการกู้ข้อมูล (Data recovery) เพื่อให้สามารถดำเนินกิจการต่อไปได้โดยเร็วที่สุด แต่การกู้ข้อมูลนั้นมีหลายสิ่งที่ควรรู้และต้องคำนึงในการปฏิบัติ เพื่อไม่ให้เกิดความเสียหายต่อฮาร์ดดิสก์โดยไม่ตั้งใจ ดังนั้น การรู้จักการทำงานของฮาร์ดดิสก์ รูปแบบความเสียหาย วิธีการการแก้ไข และขั้นตอนการปฏิบัติในการกู้ข้อมูล ก็จะสามารถช่วยป้องกันความเสียหายและเพิ่มโอกาสในการกู้ข้อมูลกลับคืนมาได้
โครงสร้างการทำงานของฮาร์ดดิสก์
ปัจจุบัน มีการใช้งานฮาร์ดดิสก์อยู่ 2 แบบ คือแบบจานแม่เหล็ก และแบบ Solid-state (SSD) ซึ่งทั้ง 2 แบบมีโครงสร้างและการทำงานที่แตกต่างกัน ส่งผลให้มีความแตกต่างในเรื่องของการเก็บข้อมูลและการกู้ข้อมูลตามไปด้วย
ฮาร์ดดิสก์แบบจานแม่เหล็ก รูปที่ 1 ฮาร์ดดิสก์แบบจานแม่เหล็ก
นิยมใช้ในคอมพิวเตอร์ทั่วไป รวมถึงกล้องวีดีโอบางรุ่น เนื่องจากมีขนาดความจุค่อนข้างสูงและมีราคาที่ลดลงมาอยู่ในระดับที่ไม่สูงมาก ฮาร์ดดิสก์แบบแม่เหล็กจะใช้แผ่นจานโลหะเพื่อเก็บข้อมูล โดยมีมอเตอร์หมุนอยู่ภายใน และใช้หัวอ่านในการอ่านและเขียนข้อมูลลงในแผ่นจานในการอ่านหรือเขียนข้อมูลจะใช้หลักการเปลี่ยนทิศทางของสนามแม่เหล็ก เพื่อเก็บข้อมูลในรูปแบบของเลขฐาน 2
ในขณะที่ฮาร์ดดิสก์ทำงาน หัวอ่านจะลอยอยู่เหนือแผ่นจานประมาณ 10 นาโนเมตร [2] (เส้นผมของมนุษย์มีเส้นผ่านศูนย์กลางเฉลี่ย 99 ไมโครเมตร) แผ่นจานจะหมุนด้วยความเร็วสูง ซึ่งในปัจจุบันมีความเร็วในการหมุนประมาณ 7200 - 10000 รอบต่อนาที (ประมาณ 270 กิโลเมตรต่อชั่วโมง) ดังนั้นหากฮาร์ดดิสก์มีการสั่นสะเทือนเกิดขึ้นในขณะที่หัวอ่านกำลังทำงาน ก็มีโอกาสสูงที่หัวอ่านจะไปขูดกับแผ่นจานแม่เหล็ก ซึ่งส่งผลให้ฮาร์ดดิสก์เสียหายอย่างถาวรได้
ฮาร์ดดิสก์แบบ Solid-state
รูปที่ 2 ฮาร์ดดิสก์แบบ Solid-state [3]
ฮาร์ดดิสก์แบบ Solid-state ใช้หลักการเดียวกันกับอุปกรณ์เก็บข้อมูลแบบพกพา เช่น Flash drive ซึ่งเป็นอุปกรณ์เก็บข้อมูลรูปแบบใหม่ที่ไม่มีชิ้นส่วนที่เป็นการหมุนหรือหัว อ่านอยู่ภายใน โดยจะเปลี่ยนมาใช้การเก็บข้อมูลบน NAND Chip ซึ่งเป็นการอ่านและเขียนข้อมูลโดยใช้ไฟฟ้า ส่งผลให้ฮาร์ดดิสก์แบบ Solid-state สามารถอ่านเขียนข้อมูลได้เร็วกว่าฮาร์ดดิสก์แบบจานแม่เหล็ก แต่เนื่องจากมีราคาที่ค่อนข้างสูง และมีความจุน้อยกว่าฮาร์ดดิสก์แบบจานแม่เหล็ก จึงนิยมใช้ในอุปกรณ์ที่ต้องการการพกพาสะดวกและมีน้ำหนักเบา เช่น คอมพิวเตอร์โน้ตบุคแบบ Ultra-thin หรือโทรศัพท์มือถือบางรุ่น
ฮาร์ดดิสก์แบบ Solid-state จะแบ่งพื้นที่ในการเก็บข้อมูลออกเป็นบล็อก (หรือ Cell) ซึ่งแต่ละบล็อกมีจำนวนครั้งในการเขียนหรือลบข้อมูลอยู่จำกัด ถ้าใช้ครบจำนวนครั้งที่กำหนด บล็อกนั้นจะไม่สามารถใช้งานได้อีก [4] นอกจากนี้การเก็บข้อมูลจะไม่ได้เก็บแบบต่อเนื่องเหมือนฮาร์ดดิสก์แบบจานแม่เหล็ก แต่จะใช้วิธี Logical mapping ซึ่งเป็นการเชื่อมโยงข้อมูลที่เก็บอยู่จริงในหน่วยความจำให้เป็นไฟล์ข้อมูลสำหรับคอมพิวเตอร์ ซึ่งส่วนที่ทำหน้าที่ดังกล่าวเรียกว่า Controller
ความเสียหายที่อาจเกิดขึ้นได้กับฮาร์ดดิสก์
ความเสียหายทางการภาพ (Physical damage)
ความเสียหายที่เกิดขึ้นกับฮาร์ดดิสก์แบบจานแม่เหล็ก จะเกิดกับส่วนของจานแม่เหล็กที่ใช้สำหรับบันทึกข้อมูล ไม่ว่าจะเป็นการอยู่ภายใต้สนามแม่เหล็กที่ความแรงสูงจนข้อมูลที่เก็บอยู่ผิดเพี้ยน หรือหัวอ่านกระแทกกับจานข้อมูล ทำให้เข้าถึงข้อมูลในส่วนนั้นไม่ได้ เป็นต้น ซึ่งถึงแม้ว่าในขณะที่ปิดเครื่อง หัวอ่านของฮาร์ดดิสก์จะถูกเก็บให้ไปอยู่ในที่ที่ปลอดภัยแล้วก็ตาม แต่การที่ฮาร์ดดิสก์ตกจากที่สูงก็มีโอกาสที่จะเกิดความเสียหายได้เช่นกัน หากหัวอ่านชำรุด แต่แผ่นจานแม่เหล็กยังสามารถใช้งานได้อยู่ ก็ยังสามารถให้ผู้เชี่ยวชาญทำการถอดจานแม่เหล็กเพื่อนำไปอ่านข้อมูลออกมาใส่ในฮาร์ดดิสก์อื่นได้ แต่หากแผ่นจานแม่เหล็กชำรุดเสียหาย โอกาสที่จะกู้ข้อมูลได้ก็น้อยลงไปด้วย [5] [6]
สำหรับฮาร์ดดิสก์แบบ Solid-state ถ้าส่วน Controller เสียหาย การกู้ข้อมูลจะทำได้ยากมากหรือแทบเป็นไปไม่ได้เลย เนื่องจากการกู้ข้อมูลต้องแกะเอา NAND Chip ออกมาคัดลอกข้อมูล แล้วนำชิ้นส่วนของข้อมูลที่ได้มาวิเคราะห์เพื่อสร้างตารางข้อมูลใหม่ นอกจากนี้วิธีการเก็บข้อมูลในฮาร์ดดิสก์แบบ Solid-state ยังแตกต่างกันออกไปตามวิธีการของผู้ผลิต ปัจจุบันยังไม่มีซอฟต์แวร์ที่ใช้ในการกู้ข้อมูลในลักษณะนี้ จำเป็นต้องให้ผู้เชี่ยวชาญทำเท่านั้น [7] [8] [9] [10]
ในประเทศไทย มีบริษัทที่ให้บริการกู้ข้อมูลในฮาร์ดดิสก์ในกรณีที่เกิดความเสียหายทาง กายภาพ เช่น ศูนย์กู้ข้อมูล IDR หรือ ศูนย์กู้ข้อมูล i-CU เป็นต้น ซึ่งค่าใช้จ่ายในการกู้ข้อมูลก็จะแตกต่างกันออกไปแล้วแต่กรณี อย่างไรก็ตาม ThaiCERT ไม่ได้มีส่วนเกี่ยวข้องกับผู้ให้บริการกู้ข้อมูลดังกล่าว
ความเสียหายที่เกิดขึ้นกับข้อมูล (Logical damage)
เป็นความเสียหายที่เกิดขึ้นจากการใช้งาน ซึ่งเกี่ยวข้องกับไฟล์หรือระบบโครงสร้างของการเก็บข้อมูล ไม่ว่าจะเป็น การเผลอลบข้อมูล การ Format ฮาร์ดดิสก์ หรือการเขียนข้อมูลทับ ซึ่งความเสียหายในส่วนนี้สามารถกู้คืนได้ด้วยซอฟต์แวร์ โดยปัจจุบันมีซอฟต์แวร์ที่ใช้สำหรับกู้ข้อมูลอยู่จำนวนมาก ผู้ใช้สามารถดาวน์โหลดมาใช้งานได้ฟรี เช่น Recuva หรือ TeskDisk เป็นต้น [11]
ทำอย่างไรหากฮาร์ดดิสก์จมน้ำ
หากฮาร์ดดิสก์จมน้ำ ไม่ว่าฮาร์ดดิสก์จะเสียหายอย่างไรก็ตาม ยังพอมีโอกาสที่จะกู้ข้อมูลได้ การกู้ข้อมูลจากฮาร์ดดิสก์ที่มีความเสียหายทางกายภาพนั้นไม่สามารถทำได้ด้วยตนเอง แต่สามารถขอความช่วยเหลือในการกู้ข้อมูลจากผู้เชี่ยวชาญได้ ข้อแนะนำในการปฏิบัติในการเก็บและจัดส่งฮาร์ดดิสก์ให้กับบริษัทที่ให้บริการกู้ข้อมูล มีดังนี้
ฮาร์ดดิสก์แบบจานแม่เหล็ก
ไม่ควรทำการกู้ข้อมูลด้วยตนเองโดยเด็ดขาด เพราะเมื่อฮาร์ดดิสก์จมน้ำ หัวอ่านอาจจะไปติดอยู่กับจานข้อมูล ถ้าจ่ายไฟเข้าไปจะเกิดการหมุนของหัวอ่าน ซึ่งอาจจะไปขูดกับจานข้อมูล ทำให้ฮาร์ดดิสก์เสียหายถาวรได้
อย่าทำให้ฮาร์ดดิสก์แห้ง เพราะเมื่อฮาร์ดดิสก์แห้งจะเกิดคราบและเศษฝุ่นเกาะติดอยู่ที่จานหรือหัวอ่านได้
รูปที่ 3 คราบฝุ่นที่ติดอยู่บนฮาร์ดดิสก์เมื่อน้ำแห้ง [12]
อย่าทำให้ฮาร์ดดิสก์สั่นสะเทือน เนื่องจากหัวอ่านอาจจะขูดกับแผ่นจาน ทำให้ฮาร์ดดิสก์เสียหายได้
ทำให้ฮาร์ดดิสก์อยู่ในสภาพที่จมน้ำแบบที่ยังคงเป็นอยู่ โดยอาจจะนำฮาร์ดดิสก์ใส่ในภาชนะที่ปิดมิดชิด เช่น กล่องโฟม หรือ กล่องใส่อาหาร แล้วส่งให้กับผู้เชี่ยวชาญเพื่อทำการกู้ข้อมูลต่อไป [13]
ฮาร์ดดิสก์แบบ Solid-state
สำหรับฮาร์ดดิสก์แบบ Solid-state (หรือ Flash drive) เนื่องจากเป็นแผงวงจร จึงสามารถทนทานต่อการจมน้ำได้บ้าง หากฮาร์ดดิสก์ถูกน้ำควรรีบนำฮาร์ดดิสก์ออกมาทำให้แห้งโดยเร็วด้วยการใช้พัดลมเป่า ไม่ควรใช้ไดรเป่าผมหรือนำไปตากแดด จากนั้นเมื่อแน่ใจว่าฮาร์ดดิสก์แห้งสนิทแล้วสามารถนำไปใช้งานต่อได้ แต่หากฮาร์ดดิสก์จมน้ำเป็นเวลานาน มีโอกาสที่จะทำให้แผงวงจรหรืออุปกรณ์ภายในขึ้นสนิมได้ ควรรีบทำให้แห้งแล้วส่งไปยังศูนย์กู้ข้อมูลเพื่อให้ผู้เชี่ยวชาญดำเนินการ ต่อไป [14]
การกู้ข้อมูลจากฮาร์ดดิสก์ที่ถูกลบหรือเขียนข้อมูลทับ
หากฮาร์ดดิสก์ไม่ได้เสียหายทางกายภาพ แต่ข้อมูลสูญหายเนื่องจากอุบัติเหตุในระหว่างการใช้งาน เช่น การเผลอลบไฟล์เอกสารสำคัญ หรือฮาร์ดดิสก์ถูก Format ยังสามารถใช้ซอฟต์แวร์ทำการกู้ข้อมูลได้ เนื่องจากเมื่อระบบทำการลบไฟล์ จะไม่ลบข้อมูลจริงทิ้ง แต่จะลบส่วนที่เป็นการอ้างอิงตำแหน่ง (Index) ของข้อมูลแทน หมายความว่า “ชื่อ” ที่ใช้ในการอ้างอิงตำแหน่งของข้อมูลนั้นจะหายไป แต่ตัวข้อมูลยังคงอยู่ เมื่อฮาร์ดดิสก์แบบแม่เหล็กเขียนข้อมูลใหม่ทับข้อมูลเดิม จะไม่ได้เปลี่ยนบิทของข้อมูลเดิมจาก 0 เป็น 1 หรือ 1 เป็น 0 เป๊ะๆ แต่จะมีการเหลื่อมอยู่บ้าง ถ้าสามารถอ่านข้อมูลดิบที่อยู่บนดิสก์ แล้วทำการวิเคราะห์รูปแบบ (Pattern) ของการเปลี่ยนค่าจาก 0 เป็น 1 หรือ 1 เป็น 0 ได้ จะสามารถรู้ว่า ข้อมูลตรงส่วนนี้เคยมีค่าเป็นอะไรมาก่อน นอกจากนี้ยังสามารถใช้กล้องสแกนแถบแม่เหล็กในฮาร์ดดิสก์ เพื่อดูค่าการจัดเรียงของสนามแม่เหล็กในดิสก์ได้ [15] อย่างไรก็ตาม การทำลายข้อมูลบนฮาร์ดดิสก์นั้นก็ยังสามารถทำได้อยู่ จากการวิจัยพบว่า ถ้าเขียนทับข้อมูลนั้นมากกว่า 25 ครั้งจะไม่สามารถกู้ข้อมูลกลับคืนมาได้ [16] [17] [18]
การป้องกันข้อมูลสูญหาย
ในการป้องกันข้อมูลสูญหาย วิธีที่ดีที่สุดคือการสำรองข้อมูลอยู่อย่างสม่ำเสมอ ซึ่งการสำรองข้อมูลก็สามารถทำได้หลายวิธี เช่น ใช้การต่อฮาร์ดดิสก์แบบ RAID เพื่อสำรองข้อมูลไปยังฮาร์ดดิสก์อีกลูกหนึ่งโดยอัตโนมัติ หรือนำข้อมูลที่สำคัญไปฝากไว้กับผู้ให้บริการฝากข้อมูลบนอินเทอร์เน็ต
ข้อมูลเพิ่มเติม Download
Data Remanence in Semiconductor Devices: http://www.cypherpunks.to/~peter/usenix01.pdf
List of data recovery software: http://en.wikipedia.org/wiki/List_of_data_recovery_software
Reliably Erasing Data From Flash-Based Solid State Drives: http://www.usenix.org/events/fast11/tech/full_papers/Wei.pdf
Redundant array of independent disks: http://en.wikipedia.org/wiki/Redundant_array_of_independent_disks
อ้างอิง จาก สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) Electronic Transactions Development Agency
http://en.wikipedia.org/wiki/Hard_drive
http://www.pcguide.com/ref/hdd/op/heads/op_Height.htm
http://en.wikipedia.org/wiki/Solid-state_drive
http://www.datarecovery.net/articles/solid-state-drive-architecture.html
http://en.wikipedia.org/wiki/Data_remanence
http://en.wikipedia.org/wiki/Data_loss
http://www.datarecovery.net/solid-state-drive-recovery.html
http://www.datarecoverytools.co.uk/2010/02/21/is-ssd-data-recovery-possible-and-different-from-hard-drive-data-recovery/
http://www.recovermyflashdrive.com/articles/how-flash-drives-fail
http://www.recovermyflashdrive.com/articles/5-things-you-should-know-about-flash-drives
http://en.wikipedia.org/wiki/Data_recovery
http://www.dataclinic.co.uk/advanced-data-recovery-water-damaged-hard-disk-drive.htm
http://www.storagesearch.com/disklabs-art3-floods.html
http://www.associatedcontent.com/article/2556459/how_to_salvage_a_usb_flash_drive_from.html
http://www.nber.org/sys-admin/overwritten-data-guttman.html
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
http://www.anti-forensics.com/disk-wiping-one-pass-is-enough
http://www.anti-forensics.com/disk-wiping-one-pass-is-enough-part-2-this-time-with-screenshots
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล
