W niektórych przypadkach odzyskiwanie danych nie polega na pracy bezpośrednio z nośnikiem, lecz na przywróceniu działania całego urządzenia. Dobrym przykładem jest realizacja dotycząca laptopa ASUS ROG Flow, w którym doszło do poważnego uszkodzenia płyty głównej w wyniku awarii mechanicznej wewnątrz obudowy.

Celem prac nie była standardowa naprawa laptopa, lecz umożliwienie dostępu do danych zapisanych na dysku SSD. Sytuację dodatkowo komplikowało szyfrowanie dysku za pomocą technologii BitLocker.

Okoliczności uszkodzenia

Laptop trafił do laboratorium po nagłej awarii zasilania. Urządzenie przestało się uruchamiać i nie reagowało na podłączenie zasilacza.

Po demontażu obudowy okazało się, że wewnątrz laptopa oderwał się metalowy element konstrukcyjny – zaczep stanowiący część mechanicznego mocowania. Element ten przemieścił się po wnętrzu obudowy i spowodował zwarcie w obszarze sekcji zasilania płyty głównej.

Metalowy element spowodował zwarcie na płycie głównej w ASUS ROG Flow

W wyniku tego zdarzenia doszło do:

  • uszkodzenia kilku elementów w torze zasilania,

  • przepalenia fragmentów ścieżek na płycie głównej,

  • zwarć w kilku liniach zasilających.

Płyta główna była w stanie uniemożliwiającym uruchomienie laptopa, a tym samym dostęp do danych zapisanych na dysku.

Dodatkowe utrudnienie: szyfrowanie dysku

Dysk SSD zamontowany w laptopie był zabezpieczony technologią BitLocker. Oznaczało to, że nawet po fizycznym wyjęciu nośnika z urządzenia dostęp do danych nie był możliwy bez odpowiedniego klucza.

Klient nie posiadał klucza odzyskiwania BitLocker, który w wielu przypadkach jest zapisywany w koncie Microsoft lub w innej lokalizacji wskazanej podczas konfiguracji systemu.

W takich sytuacjach standardowe metody odzyskiwania danych z samego dysku nie pozwalają na odszyfrowanie zawartości.

Strategia odzyskiwania danych

W tym zleceniu jedyną realną metodą uzyskania dostępu do plików było przywrócenie działania płyty głównej laptopa w takim zakresie, aby system operacyjny mógł uruchomić się w oryginalnym środowisku sprzętowym.

Jest to szczególnie istotne w przypadku dysków szyfrowanych przy użyciu modułu Trusted Platform Module (TPM). To właśnie TPM przechowuje informacje umożliwiające automatyczne odblokowanie dysku podczas startu systemu.

W praktyce oznaczało to konieczność:

  • dokładnej diagnostyki uszkodzeń płyty głównej,

  • usunięcia zwarć w sekcji zasilania,

  • odbudowy uszkodzonych ścieżek,

  • wymiany uszkodzonych komponentów zasilania.

Naprawa płyty głównej

Proces naprawy obejmował kilka etapów.

Najpierw przeprowadzono szczegółową analizę sekcji zasilania przy użyciu pomiarów rezystancji oraz zasilacza laboratoryjnego. Pozwoliło to zlokalizować obszary, w których występowały zwarcia.

Następnie wykonano:

  • usunięcie uszkodzonych elementów,

  • rekonstrukcję przerwanych ścieżek,

  • wymianę komponentów układu zasilania,

  • kontrolę stabilności napięć w głównych liniach zasilających.

Celem tych działań nie było przywrócenie laptopa do pełnej sprawności użytkowej, lecz doprowadzenie do stabilnego uruchomienia systemu operacyjnego.

Krytyczny moment: status TPM

W tego typu przypadkach bardzo istotne jest, czy podczas awarii lub naprawy nie dochodzi do resetu modułu Trusted Platform Module.

Gdyby TPM został wyczyszczony lub zresetowany, system uznałby środowisko startowe za zmienione i zażądał klucza odzyskiwania BitLocker. W tej realizacji klient nie posiadał takiego klucza, co w praktyce uniemożliwiłoby dostęp do danych.

Na szczęście w tym przypadku TPM nie został zresetowany.

Ostatecznie płytę udało się naprawić na tyle, że laptop działał niemal prawidłowo (poza ładowaniem baterii z jednego portu USB-C)

Naprawiony Asus ROG Flow

Zabezpieczenie danych

Po uzyskaniu dostępu do systemu wykonano natychmiastowe zabezpieczenie danych klienta poprzez ich skopiowanie na zewnętrzny nośnik.

Ze względu na wcześniejsze uszkodzenia sprzętowe nie zalecano dalszego użytkowania laptopa bez pełnej wymiany płyty głównej.

Wnioski z realizacji

Ten przypadek pokazuje kilka ważnych aspektów odzyskiwania danych z nowoczesnych komputerów:

  1. Uszkodzenie mechaniczne wewnątrz laptopa może doprowadzić do poważnych awarii elektroniki.

  2. W przypadku dysków szyfrowanych przez BitLocker odzyskanie danych często wymaga uruchomienia oryginalnego sprzętu.

  3. Brak klucza odzyskiwania BitLocker może znacząco utrudnić lub uniemożliwić dostęp do danych.

  4. Stan modułu Trusted Platform Module ma kluczowe znaczenie dla powodzenia odzyskiwania danych.

Realizacja zakończyła się powodzeniem, ponieważ mimo poważnego uszkodzenia płyty głównej udało się przywrócić działanie laptopa bez ingerencji w konfigurację zabezpieczeń.

Dzięki temu możliwe było odszyfrowanie dysku i odzyskanie wszystkich danych klienta. Niestety nie zawsze takie sytuacje kończą się szczęśliwie, więc warto zawsze mieć aktualną kopię zapasową.