Niemal każdego dnia spotykam się z klientami, którzy stracili ważne pliki z dysku SSD po ich skasowaniu lub w wyniku formatowania i są bardzo zaskoczeni, gdy informuję ich, że standardowe programy do odzyskiwania danych prawdopodobnie nie pomogą. To jedno z najczęstszych nieporozumień w branży data recovery - użytkownicy zakładają, że skoro program działał na ich starym dysku HDD, zadziała również na nowoczesnym SSD. Niestety, fundamentalne różnice w technologii między tymi nośnikami sprawiają, że odzyskiwanie danych z SSD,, po ich skasowaniu jest znacznie trudniejsze, a często po prostu niemożliwe.

Problemy z odzyskiwaniem skasowanych plików z dysku SSD wynikają z technologii i sposobu funkcjonowania dysku SSD, która jest zupełnie inna niż w dyskach HDD.

Podstawowa różnica: HDD vs SSD

Jak działa dysk HDD?

Dysk twardy to mechaniczne urządzenie z wirującymi talerzami pokrytymi materiałem magnetycznym. Kluczowa kwestia: gdy "kasujemy" plik z dysku HDD, system operacyjny jedynie oznacza zajmowane sektory jako wolne.Same dane pozostają fizycznie na dysku, dopóki nie zostaną nadpisane - czyli do momentu aż nie zmienią się magnetyczne domeny w sektorze.

To właśnie dlatego programy do odzyskiwania działają na HDD - skanują powierzchnię dysku, szukając pozostałości plików. W mojej praktyce wielokrotnie odzyskiwałem skasowane dane z dysków twardych które były usunięte wiele miesięcy wcześniej.

Jak działa dysk SSD?

Dysk SSD nie ma ruchomych części - dane są zapisane w układach pamięci flash NAND. Krytyczna właściwość:nie można bezpośrednio nadpisać pojedynczej komórki. Przed zapisaniem, cały blok pamięci musi zostać najpierw wymazany. Zależnie od dysku blok może mieć rożną pojemność ale przeważnie to kilka do kilkudziesięciu KB.

Funkcja TRIM - automatyczny niszczyciel danych

TRIM to komenda systemowa będąca głównym powodem niemożności odzyskiwania danych z SSD.

Jak działa TRIM?

  1. Użytkownik kasuje plik
  2. System oznacza bloki jako wolne
  3. System wysyła komendę TRIM do dysku
  4. Kontroler SSD fizycznie wymazuje zawartość ( Jak się okazuje nie zawsze - ale o tym w dalszej części artykułu)

Zauważcie różnicę: HDD pozostawia dane nietknięte, SSD jeniszczy fizycznie.

Dlaczego TRIM istnieje?

  • Wydajność: Pamięć flash nie może nadpisywać - musi najpierw wymazać. TRIM pozwala dyskowi proaktywnie czyścić bloki w czasie bezczynności
  • Żywotność: Komórki flash mają ograniczone cykle zapisu (3000-10000). TRIM redukuje niepotrzebne operacje

Kiedy TRIM jest aktywny?

Trim jest aktywny niemal w każdym nowym systemie operacyjnym

  • Windows 7+ - domyślnie włączony
  • macOS 10.6.8+ - domyślnie włączony
  • Linux 2.6.33+ - domyślnie włączony

TRIM działa niemal natychmiast- w moich testach, które przeprowadzałem, dane są wymazywane w ciągu ułamków sekund od skasowania.

 

 

TRIM jednak nie zawsze działa jak powinien, a dane skasowane z SSD można czasem odzyskać. 

Odkrycie, które przewróciło branżę do góry nogami

Przez ostatnie kilkanaście lat wszyscy w branży odzyskiwania danych powtarzaliśmy jak mantrę: jeśli dane z SSD zostały usunięte z włączonym TRIM to koniec gry. Dane są fizycznie niszczone. Nie ma co próbować standardowych metod". I, w pewnym sensie mieliśmy rację. Ale jak się okazuje, technologia nie zawsze robi to, co deklaruje producent.

Najnowsze badania, które były inspirowane odzyskiwaniem danych z kart pamięci po formacie prowadzone zarówno przez takie firmy jak ACELAB jak i przez nas, ujawniły bardzo ciekawe informacje - kontrolery Silicon Motion (SM) i Phison – dwa najpopularniejsze rozwiązania na rynku dysków konsumenckich – wcale nie kasują fizycznie danych po otrzymaniu komendy TRIM.

Brzmi jak teoria spiskowa? To nie jest błąd implementacji ani bug. To celowa decyzja projektowa, a jej konsekwencje są takie, że jednak da się odzyskać usunięte dane z dysków SSD.

Jak to działa?

Wyobraźcie sobie taki scenariusz. System operacyjny wysyła do dysku SSD komendę: "Hej, te bloki danych nie są już potrzebne, możesz je wyczyścić". Dysk odpowiada grzecznie: "Tak jest, szefie, natychmiast wykonuję". System zadowolony wraca do swoich spraw.

Ale co naprawdę robi kontroler Silicon Motion czy Phison? Otóż otwiera sobie małą, elektroniczną książeczkę (w rzeczywistości tablicę mapowania w pamięci kontrolera) i starannie zapisuje: "Blok 12459 – oznaczony jako skasowany" a w jego miejsce przypisuje inny pusty blok zmieniając tylko nagłówek - I to wszystko.

Dane? Siedzą sobie spokojnie w układach flash NAND, nietknięte, niezmienione. Kontroler po prostu oszukuje system operacyjny.

Kiedy system później próbuje odczytać ten "skasowany" blok, kontroler nie zwraca rzeczywistych danych. Zamiast tego, uprzejmie serwuje strumień zer: "00 00 00 00...". System widzi puste miejsce i jest przekonany, że dane zostały wymazane. Ale fizycznie? Fizycznie dane są tam, gdzie zawsze były.

Dlaczego producenci tak robią?

Pierwszą moją reakcją było oburzenie. "Przecież to oszustwo!" – pomyślałem. Ale potem zacząłem rozumieć logikę stojącą za tą decyzją.

Argument pierwszy: Wydajność

Fizyczne kasowanie bloków w pamięci flash to czasochłonna operacja. Kontroler musiałby:

  1. Przerwać obecne zadania
  2. Wykonać operację wymazywania (która w pamięci flash zajmuje relatywnie dużo czasu)
  3. Wrócić do normalnej pracy

Jeśli system właśnie kasuje 5GB danych (powiedzmy, usuwacie folder z filmami), to oznacza tysiące bloków do wymazania. Gdyby kontroler faktycznie je teraz kasował, komputer by zwyczajnie zawiesił się na kilka(naście) sekund. Nie do przyjęcia z perspektywy użytkownika.

Zamiast tego, kontroler mówi: "Dobra, zanotowałem, że to do skasowania. Zrobię to jak będę miał wolną chwilę". I rzeczywiście – podczas bezczynności dysku bloki te są ostatecznie czyszczone. Ale "ostatecznie" może oznaczać minuty, godziny, a czasem wiele dni.

Argument drugi: Żywotność

Każde fizyczne wymazanie bloku to jeden cykl użycia komórki flash. Komórki te mają limit (3000-10000 cykli dla nowoczesnych dysków TLC/QLC). Po co marnować te cykle na natychmiastowe kasowanie, skoro i tak możemy to zrobić później, łącząc wiele operacji w jedną?

Argument trzeci: Bezpieczeństwo (paradoks)

I tutaj robi się naprawdę interesująco. Z punktu widzenia przeciętnego użytkownika, dane wyglądają na skasowane – system operacyjny widzi same zera. Gdyby ktoś ukradł wam dysk i podłączył go do swojego komputera, również zobaczyłby... nic. Puste miejsce.

Ale specjalista z odpowiednim sprzętem? To już inna historia.

PC-3000 firmy ACELAB

Tutaj wkracza mój ukochany (i przerażająco drogi) sprzęt: PC-3000 od firmy ACE Lab. To urządzenie, które kosztuje naprawdę za dużo, ale w połaczeniu z doświadczeniem pozwala na odzyskiwanie danych w sytuacjach, w których inne programy nie mają szans.

PC-3000 działa na innym poziomie. Może odczytać dane bezpośrednio z bloków bez interpretacji kontrolera. To naprawdę inny poziom abstrakcji.

I co się okazuje? W przypadku dysków SSD z kontrolerami Silicon Motion i Phison często odzyskujemy nietknięte dane, pomimo że kontroler upierał się, że nic tam nie ma a użytkownik usunął pliki lub sformatował dysk.

Proces odzyskiwania – szczegóły techniczne

Jeśli zastanawiacie się, jak to wygląda w praktyce, pozwólcie, że opiszę typowy proces w moim laboratorium:

Nie wszystkie kontrolery są sobie równe

Muszę jednak uczciwie powiedzieć – to nie jest uniwersalna zasada dla wszystkich dysków SSD. Rynek kontrolerów jest zróżnicowany, i różni producenci implementują TRIM na różne sposoby nawet przy tych samych kontrolerach.

Takie działanie dysków SSD ma jednak dwie strony medalu. Z jednej strony przypadkowe skasowanie danych nie oznacza automatycznie końca świata. pozostaje szansa na odzyskanie usuniętych danych z dysku SSD. Ale jest druga strona. Jeśli sprzedajecie lub oddajecie stary laptop z dyskiem SSD, i założyliście że "przecież skasowałem wszystko, nawet formatowałem" – możecie być w błędzie. Specjalista z PC-3000 może potencjalnie odzyskać:

  • Wasze hasła (jeśli były przechowywane lokalnie)
  • Dokumenty finansowe
  • Osobiste zdjęcia
  • Firmowe tajemnice
  • Całą historię tego, co robiliście na komputerze

To jest prawdziwy problem bezpieczeństwa, o którym większość użytkowników nie ma pojęcia. Na szczęście urządzeń tego typu nie jest zbyt dużo w Polsce, bo po pierwsze PC3000 jest bardzo drogie, a po drugie jego obsługa jest bardzo skomplikowana.

Co robić jeśli sformatujesz dysk SSD lub skasujesz z niego pliki?

Jeśli chcecie odzyskać dane:

  1. NATYCHMIAST przestańcie używać dysku – każda operacja zapisu, każde włączenie systemu zwiększa ryzyko, że kontroler w końcu zrobi swoje
  2. Sprawdźcie model dysku –  Jeśli masz kontroler SM lub Phison – jest nadzieja
  3. Skorzystaj z naszych usług – nie każdy serwis ma PC-3000 . To drogie urządzenie i nie każdy może sobie pozwolić na jego zakup. Szukajcie laboratoriów takich jak nasze, specjalizujących się w profesjonalnym odzyskiwaniu danych.
  4. Przygotujcie się na koszty– odzyskiwanie metodą przy użyciu PC-3000 to 1500-9000 zł. Wiem że to drogie, ale często jedyna opcja

Jeśli chcecie bezpiecznie skasować dane:

  1. NIE polegajcie na "Delete"– nawet formatowanie nie jest pewne z kontrolerami SM/Phison
  2. Używajcie narzędzi do bezpiecznego kasowania:
    • ATA Secure Erase– komenda wspierana przez większość dysków, która WYMUSZA fizyczne kasowanie
    • Parted Magic– dystrybucja Linux z narzędziami do Secure Erase
    • Narzędzia producentów (Samsung Magician, Crucial Storage Executive)
  3. Dla krytycznych danych – szyfrowanie od początku:
    • BitLocker (Windows Pro)
    • FileVault (macOS)
    • LUKS (Linux)
    Jeśli dysk był zaszyfrowany, to nawet jeśli dane fizycznie zostały, są bezużyteczne bez klucza
  4. Ostateczność – fizyczna destrukcja– dla naprawdę wrażliwych danych, jedyna pewność to fizyczne zniszczenie kości pamięci. 
 
Technologia dysków SSD się wciąż rozwija. Tak samo rozwijają się metody odzyskiwania danych z dysków SSD, ale kopia zapasowa to zawsze będzie Twój najlepszy przyjaciel. Pamiętaj o tym, bo to jedyne, tanie i skuteczne rozwiązanie na odzyskanie danych.