Pháp chứng kỹ thuật số trên máy tính và mạng
Khôi phục dữ liệu:
Thực tiễn tốt nhất cho nhà
cung cấp dịch vụ 
Hướng dẫn: TS. Đàm Quang Hồng Hải
Thực hiện:
Nguyễn Thanh Tâm 12520909
Đặng Thái Hoà
12520596
Võ Đức Hoà
12520147
Hồ Quang Chiến
12520547


Giới thiệu về chung về đề tài
 Khi trung tâm dịch vụ máy tính bị hư hại về ổ đĩa cứng thì khôi
phục dữ liệu có thể sẽ một nguồn mang lại lợi nhuận.
 Nhưng việc phục hồi dữ liệu phải được thực hiện một cách khôn
ngoan và cẩn thận:
 Thiếu hiểu biết thực tế có thể giảm hoặc thậm chí hủy hoại
cơ hội khôi phục dữ liệu
 Các nhà cung cấp có thể phải chịu trách nhiệm pháp lý.
 Mục đích của bài báo cáo:
 Chia sẻ kinh nghiệm khôi phục dữ liệu cơ bản
 Giảm thiểu nguy cơ làm tổn hại đến ổ đĩa


Tổng quan về khôi phục ổ cứng
 Để đạt được chuyên môn về khôi phục dữ liệu không phải là một quá
trình nhanh chóng và cũng không dễ dàng.

 Ổ đĩa có rất nhiều loại và mẫu mã khác nhau, cùng một hãng sản xuất
hoặc khác hãng.

 Các nhà sản xuất ổ đĩa cứng tiết lộ rất ít về chi tiết kỹ thuật sản
phẩm của họ, vì họ muốn bảo vệ tài sản trí tuệ của mình và bí mật
thương mại.

 Các công cụ chuẩn đoán ổ đĩa và phần mềm nhớ tốt rất tốn kém. Việc
đào tạo toàn diện về cách sử dụng chúng cũng thường đắt tiền.

 Phần lớn những gì kỹ thuật viên phục hồi dữ liệu tự tìm hiểu và đi
kèm với sai sót, nhưng quan trọng nhất vẫn là không để khách hàng
phải phàn nàn.


Các nguyên tắc chung
 Về mặt lương tâm nghề nghiệp, nhận ra những hạn chế của bản
thân, đặt lợi ích của khách hàng là trên hết:
 Nếu không có đủ kiến thức, thiết bị, kinh nghiệm và sự tự
tin để giải quyết công việc thì nên dừng lại, để tránh làm mất dữ
liệu của khách hàng.
 Chuẩn đoán đúng rất quan trọng:
không thể sửa khi không chắc
chắn nó bị gì.
 Đừng làm điều gì đó mà không
thể hoàn tác lại sau này.
Công cụ phục hồi dữ liệu.



Các nguyên tắc chung
 Ghi lại tất cả các bước mà
bạn đã dùng để phục hồi dữ
liệu, nó sẽ giúp cho bạn
hoặc kỹ thuật viên sau đó
có thể giải quyết với các
vấn đề tương tự.
Dán nhãn tên trên các thành phần thiết bị.

 Đặt nhãn tên lên từng thành phần thiết bị của khách hàng, để
đảm bảo không bị lẫn lộn với người khác và chắc chắn rằng khôi
phục đúng với hiện trạng ban đầu.

 Thực hiện trên các ổ đĩa thử nghiệm trước, để tránh làm hỏng
ổ đĩa gốc của khách hàng.


Các nguyên tắc chung
 Nếu một ổ đĩa xuất hiện dấu hiệu hỏng hóc, hãy sao chép dữ liệu
qua một ổ đĩa cứng khác rồi tìm hiểu sửa chữa ổ cứng này sau.
 Dành thời gian để nghiên cứu, xem xét ổ đĩa trước khi làm điều
gì, một chuẩn đoán sai không chỉ lãng phí thời gian mà còn có
thể làm mất dữ liệu.
 Giữ bí mật tất cả dữ liệu của khách hàng
 Đảm bảo bảo mật sau khi khôi phục hoàn thành, loại bỏ các
phương tiện đã dùng trong quá trình làm và đảm bảo đã loại bỏ.
 Trung thực và đạo đức


Đánh giá ban đầu: biểu hiện bên ngoài

 Bước đầu tiên mà rất quan trọng trong quá trình phục hồi: lấy thông
tin lịch sử sử dụng của khách hàng. Như là:
Những gì đã xảy ra khi ổ đĩa bị lỗi?
Nó có bị rơi không?
Có sự cố cúp điện hay không?...

 Những biểu hiện đáng ngờ mà bạn thấy được: nắp cong tại một góc,
dấu hiệu thiệt hại về vật lí gợi ý về việc làm rơi, đập phá

 Lưu ý:
 Phải dành thời gian để nghiên cứu, xem xét ổ đĩa 1 cách kĩ
càng trước khi làm điều gì
 Một chuẩn đoán sai không chỉ lãng phí thời gian mà còn có thể
làm mất dữ liệu.


Kiểm tra bo mạch máy tính
 Kiểm tra bên ngoài bo mạch máy tính, đặc biệt là với đĩa cứng laptop:
Có dấu hiệu nào của nhiễm bẩn chất lỏng hay ăn mòn không?
Các ổ đĩa có mùi của cà phê hay rượu?
Có bị dính gì lạ không?

Nếu có thì khả năng bảng mạch đã bị nhiễm bẩn và hỏng.
Tất cả các vết bẩn phải được loại bỏ trước khi quá trình hồi
phục bắt đầu.


Kiểm tra bo mạch máy tính
 Có khu vực bị cháy trên bảng mạch


Một bảng mạch bị cháy
mô tơ IC

Chip Bộ nhớ chỉ đọc trên
một bảng mạch laptop

 Hầu hết các bo mạch ổ cứng chứa thông tin duy nhất về các
ổ đĩa cụ thể, như là một phần của Bộ nhớ chỉ đọc hoặc
nhúng vào các bộ xử lý chính
 Thường được gọi là thông tin đáp ứng hay phần mềm nhớ.


Kiểm tra bo mạch máy tính
 Nguyên tắc: Không thể chỉ thay thế một bảng mạch hư mà
không chuyển các dữ liệu sang bảng mạch thay thế, quy trình này
đòi hỏi cần có thiết bị đặc biệt.

 Đôi khi các trung tâm dịch vụ sẽ đổi một bảng mạch khác hoặc
loại bỏ các bảng mạch hỏng mà không nói với khách hàng: có thể
ảnh hưởng đến các nỗ lực phục hồi sau này, hoặc không thể phục hồi

 Nếu dữ liệu không thể phục hồi hoàn toàn, giải pháp tốt nhất là trở
về với ổ đĩa hỏng và bảng mạch gốc kèm theo ban đầu.


Cấp nguồn cho ổ đĩa
 Không nên cấp nguồn cho ổ đĩa mà không có sự kiểm tra:
Nếu bạn biết hoặc nghi ngờ nó đã bị rơi hoặc sốc nặng
Ổ đĩa bị rớt trong một chất lỏng nào đó hoặc nếu bị ô
nhiễm cũng không vận hành


Một cái đầu đọc bị trầy xước và nhiễm bẩn


Cấp nguồn cho ổ đĩa
 Hãy hỏi khách hàng của bạn nếu đĩa đã bị rơi. Trừ khi bạn
có một căn phòng sạch sẽ, kinh nghiệm và chuyên môn.
 Một khi đã hài lòng rằng một ổ đĩa an toàn để bật nguồn,
lắng nghe một cách cẩn thận từ nó.
 Ổ đĩa mà cho tiếng ồn bất thường, đặc biệt là cào và âm
thanh the thé, nên tắt ngay lập tức.
 Bất cứ khi nào có sự không chắc chắn, hãy thận thận
trọng để tránh sai lầm.


Mở khoan kín của một ổ đĩa cứng
Mở một ổ cứng ra bên ngoài một môi trường bạn cho là sạch sẽ
không phải là một ý tưởng tốt:

 Làm tăng nguy cơ hư hại hoặc mất khả năng phục hồi.
 Mở một ổ đĩa trong một căn phòng sạch cũng có thể làm ô
nhiễm tới các khu vực làm việc đó.

 Đôi khi tháo nắp của một ổ đĩa hoàn toàn tốt cũng có thể gây ô
nhiễm khoan kín; các hạt nhỏ,mảnh vỡ thường tích tụ xung
quanh của nắp, một hạt bụi nhỏ cũng có thể gây ra hư hại đầu đọc


Mở khoan kín của một ở đĩa cứng


Cận cảnh ổ đĩa nhiễm bẩn

 Nếu bạn đang không được phép của nhà sản xuất để mở ổ cứng,
bạn sẽ làm mất hiệu lực bảo hành.

 Gởi các ổ đĩa đến nhà chuyên môn. Nhiều công ty phục hồi dữ
liệu chuyên nghiệp tính phí ít hoặc không có gì để kiểm tra một ổ đĩa
trước khi thu hồi.


Cấp nguồn cho ổ đĩa

Đoạn đầu đọc bị hỏng trong đường nối

 Đôi khi các trung tâm dịch vụ sẽ đổi một bảng mạch khác hoặc
loại bỏ các bảng mạch hỏng mà không nói với khách hàng: có thể
ảnh hưởng đến các nỗ lực phục hồi sau này, hoặc không thể phục hồi

 Nếu dữ liệu không thể phục hồi hoàn toàn, giải pháp tốt nhất là trở
về với ổ đĩa hỏng và bảng mạch gốc kèm theo ban đầu.


Ảnh hóa ổ đĩa
Cách tốt nhất để phục hồi dữ liệu là tạo một bản sao hoặc ảnh hóa ổ
đĩa bị lỗi, sau đó phục hồi tập tin từ các tập tin ảnh hóa. 

 Một ổ cứng lỗi có thể có một số giới hạn giờ làm việc còn lại trước
khi nó lỗi hoàn toàn. Cố gắng để lấy dữ liệu ra từ ổ đĩa  càng nhanh
càng tốt với thiệt hại tối thiểu tới ổ đĩa gốc.


 Đôi khi cần nhiều hơn một thuật toán phục hồi tập tin thì cần thiết
để cho kết quả tối ưu.

 Ổ đĩa ảnh là một kho lưu trữ của dữ liệu gốc và rất hữu ích.


Phần mềm ảnh hóa so với ảnh “phần cứng”
 Ổ đĩa cứng có thể được nhân đôi (hoặc ảnh hóa) bởi máy tính sử
dụng chương trình phần mềm cho mục đích nào đó.

 Ổ đĩa cũng có thể được sao chép bằng ảnh phần cứng, sử dụng
bảng mạch thiết kế đặc biệt hoặc các máy chuyên dụng.
 Một số máy chụp phần cứng có các tính năng mà vượt qua khả
năng của chỉ có phần mềm. Chúng có thể:
 Cho phép phục hồi nhiều lần trên ổ cứng lỗi
 Điều chỉnh tốc độ và "chiều sâu" của quá trình đọc bằng
cách điều chỉnh các loại thiết lập lại, số nổ lực để đọc mỗi
cung từ xấu, v.v..
 Xây dựng một bản đồ đầu và ảnh đầu.


Phần mềm ảnh hóa so với ảnh “phần cứng”
 Dừng ảnh hóa, nhảy đến một điểm khác, bỏ qua một số khu
vực, v.v… theo điều kiện chỉ định trước.
 Thiết bị phần cứng chuyên dụng làm việc hiệu quả hơn và
nhanh hơn so với máy tính chạy phần mềm.
 Hỗ trợ tập tin hình ảnh bởi MFT hoặc cấu trúc thư mục khác.


Khi nào dừng ảnh hóa ổ đĩa

 Phương châm chính của phục hồi dữ liệu là "đầu tiên, không làm
hại“ đây là điều rất quan trọng để nhận ra khi nào để dừng, hoặc khi
tiếp tục có thể làm hại nhiều hơn lợi.

 Dừng ảnh hóa khi:
 Ổ đĩa tạo ra tiếng “kích” hoặc tiếng ồn “bất ổn” khác.
 Ổ đĩa bị lỗi không sẵn sàng.
 Các ổ đĩa phơi bày các dấu hiệu lỗi tầng, tức là một hoặc nhiều
lần mà đã làm việc khi tiến trình đã bắt đầu bị lỗi.


Công nghệ RAID – Giải pháp phòng hộ dữ liệu
RAID là gì?
• Được sử dụng như một giải pháp phòng
hộ, đảm bảo an toàn dữ liệu gồm nhiều
đĩa cứng ghép lại tạo thành 1 ổ cứng duy
nhất: cho phép ghi dữ liệu lên nhiều đĩa
cứng cùng lúc.
• Giúp gia tăng tốc độ truy xuất dữ liệu từ
đĩa cứng.
• Đa số các bo mạch chủ ngày nay đều có
công nghệ RAID hoặc có hỗ trợ khe cắm
card điều khiển RAID. 
• Các RAID cảm nhận sự lỗi và điều chỉnh
độ đọc và ghi dữ liệu cho phù hợp.
• Tính năng tuyệt vời của RAID là tự động
hoặc bán tự động phục hồi dữ liệu sau ổ
đĩa lỗi.

Bốn mảng ổ RAID

với bảng điều khiển
phía trước loại bỏ


Cám ơn thầy và các bạn đã lắng nghe!