Большая карта · версия 2

Цифровой носитель - это не коробка с файлами. Это механизм, память, контроллер и следы.

Этот визуальный курс объясняет, как устроены цифровые носители, почему данные на них не всегда видны напрямую и как их безопасно извлекают, восстанавливают и анализируют.

1. ТипHDD, SSD, USB, SD, CD/DVD/BD, RAID.
2. ДоступВидится ли устройство, читаются ли сектора, есть ли ошибки.
3. КопияПобитовый образ, хеш, работа не с оригиналом.
4. СмыслФайлы, удаленные данные, метаданные, временная линия.
Открытый жесткий диск с пластинами и блоком головок
Открытый HDD: хороший символ всей темы. Данные существуют на физическом объекте, и к нему нужен аккуратный путь.

Логика курса

Что нужно понять в этой теме

Вся техническая картина держится на трех вещах: как устроен носитель, как безопасно получить с него данные и как понять смысл найденных цифровых следов.

1Классифицировать носитель

Понять, что перед экспертом: HDD, SSD, USB-флешка, карта памяти, оптический диск, RAID-массив или компьютерная система с несколькими накопителями.

2Понять способ хранения

Магнитная запись у HDD, NAND-flash у SSD/USB/SD, оптическое считывание лазером у CD/DVD/Blu-ray, распределение данных по дискам у RAID.

3Снять данные без вреда

Сначала диагностика и клонирование, потом анализ копии. Это защищает исходный носитель и целостность и смысл данных.

Учебный вопрос Что надо понять простыми словами Технический ответ
Какое устройство работает с этим носителем? Куда его можно подключить и чем прочитать. SATA/IDE/SAS/NVMe/USB/SD-ридер/оптический привод/RAID-контроллер/адаптеры и write blocker.
Есть ли такое устройство в системе? Может ли представленная система сама читать носитель. Проверяются интерфейсы, порты, кабели, BIOS/UEFI, ОС, драйверы, контроллеры, приводы.
Какие параметры носителя? Какой он физически и как быстро/надежно читается. Форм-фактор, объем, интерфейс, скорость, время доступа, число ошибок, SMART, геометрия, файловая система.
Какой метод хранения реализован? Почему данные лежат именно так и почему восстановление разное. Магнитная поверхность, NAND-страницы/блоки, оптические дорожки, RAID-striping/mirroring/parity.

Сравнение

Один взгляд на основные носители

Эта таблица - быстрый “переводчик” между железом, способом записи и экспертной логикой.

Носитель Где данные физически Кто управляет доступом Типичные проблемы Что делает эксперт
HDD На магнитных пластинах, по секторам и дорожкам. Головки, привод позиционирования, электроника, микропрограмма. Bad sectors, сбой головок, шпиндель, PCB, служебная область, SMART-ошибки. Диагностика, безопасное чтение, посекторный образ, восстановление файловой системы и удаленных данных.
SSD / USB / SD В микросхемах NAND flash: страницы и блоки. Контроллер, FTL-таблицы, ECC, wear leveling. Сбой контроллера, износ ячеек, битовые ошибки, повреждение таблиц трансляции. Образ через интерфейс или chip-off, чтение микросхем, ECC, сборка логического образа.
CD / DVD / Blu-ray В оптическом слое диска, по спиральной дорожке. Оптический привод, лазер, TOC/сессии, файловая система. Царапины, грязь, трещины, повреждение отражающего слоя, незакрытая сессия. Осмотр поверхности, чтение TOC, попытки посекторного копирования разными режимами.
RAID Данные распределены между несколькими дисками. RAID-контроллер или программный RAID. Потеря диска, неверный порядок, неизвестный размер блока, parity rotation. Определить параметры массива, собрать виртуальный образ, затем анализировать как один носитель.

Словарь без боли

Термины, которые дальше будут встречаться

Главная проблема hardware-темы - слова звучат страшнее, чем смысл. Здесь перевод на человеческий язык.

Сектор / блокМаленький адресуемый кусок данных. Компьютер не просит “дай файл”, он просит много таких кусочков.Для эксперта: можно копировать даже там, где файл уже не виден.
LBAНомер логического блока. Это как номер ячейки в огромном складе: “прочитай ячейку 123456”.Важно: логический номер не всегда равен физическому месту.
КонтроллерМикросхема-диспетчер. Принимает команды от компьютера и решает, как реально читать память.Если он сломан, данные могут быть живы, но недоступны.
ПрошивкаВнутренние правила работы устройства. Это не пользовательские файлы, а “мозг” накопителя.Сбой прошивки может скрыть весь диск.
Файловая системаКарта, где записано: какие файлы существуют, где лежат их части, какие у них имена и даты.Без карты данные могут быть на месте, но каталог их не показывает.
МетаданныеДанные о данных: даты, путь, автор, размер, тип, признаки удаления, свойства файла.Часто отвечают на вопрос “когда и откуда”.
Образ дискаКопия носителя на уровне блоков, а не просто папка с файлами.Нужен, чтобы работать с копией и не портить оригинал.
КарвингПоиск файлов по внутренним признакам, когда обычная карта файловой системы потеряна.Полезно при удалении, форматировании и повреждении каталога.
Запомнить одним предложением: носитель хранит байты, контроллер дает к ним доступ, файловая система превращает байты в понятные файлы, а эксперт должен сохранить все это без изменения исходника.

HDD

Жесткий диск: механика плюс магнитная запись

HDD проще понять как очень точный проигрыватель: есть вращающиеся пластины и головки, которые парят над поверхностью на микроскопическом расстоянии.

Открытый жесткий диск
Видны магнитные пластины, ось вращения, блок головок и привод позиционирования.
Ментальная модель: HDD - это не “память как флешка”. Это механическая система, где доступ к данным зависит от вращения, головок, поверхности, электроники и служебной области.
  • Пластины. Жесткие алюминиевые или стеклянные диски с магнитным покрытием. На них записаны данные.
  • Шпиндель. Мотор вращает пластины. Если не стартует, данные физически есть, но доступа нет.
  • Головки. Читают и записывают данные, не касаясь поверхности в нормальном режиме.
  • Служебная область. Внутренняя зона с микропрограммой, таблицами дефектов и калибровками. Без нее диск может “не знать себя”.
  • PCB. Плата электроники: питание, интерфейс, управление мотором, связь с компьютером.

HDD глубже

Архитектура HDD: путь от “открой файл” до магнитной поверхности

Когда пользователь открывает файл, внутри происходит цепочка переводов. Если порвалось любое звено, файл может не открываться, хотя данные физически еще лежат на пластине.

1. Компьютер просит блок Операционная система обращается к диску по логическому адресу: “дай LBA 123456”.
>
2. Электроника переводит адрес Плата и прошивка понимают, куда поставить головку и какую область читать.
>
3. Головка читает поверхность Сигнал с магнитной поверхности превращается обратно в байты.
Слой HDD
Что это простыми словами
Почему важно эксперту
Host interface
Разъем и язык общения с компьютером: SATA, IDE, SAS, USB-переходник.
Если интерфейс или переходник нестабилен, ошибки могут выглядеть как поломка диска.
PCB / электроника
Плата управляет питанием, мотором, головками и обменом данными.
Сгоревшая плата может не означать потерю данных, но требует осторожной диагностики.
Firmware / service area
Внутренние таблицы и код, которые помогают диску знать свою геометрию и дефекты.
Повреждение служебной области дает неверный объем, зависания, невозможность чтения.
Media surface
Магнитная поверхность, где фактически записаны данные.
Bad sectors и царапины надо читать щадяще: агрессивное копирование может ухудшить состояние.

HDD параметры

Какие параметры HDD важны эксперту

Не нужно любить hardware. Нужно видеть, какие параметры отвечают на экспертные вопросы: можно ли читать, каким способом, насколько рискованно и что могло пропасть.

Параметр Зачем он нужен
Форм-фактор2.5", 3.5", 1.8" и другие. Определяет питание, корпус, адаптеры и способ подключения.
ИнтерфейсSATA, IDE/PATA, SAS, USB-bridge. От него зависит оборудование для чтения и блокировки записи.
ЕмкостьСравнивается с заявленной. Неверный объем может означать сбой контроллера, прошивки или транслятора.
Скорость и время доступаДля HDD доступ зависит от вращения и перемещения головок. Плохой доступ часто показывает деградацию поверхности.
SMARTЖурнал состояния: переназначенные сектора, ошибки чтения, время работы, температура, сбои.

Почему нельзя просто “открыть диск и посмотреть файлы”

Если диск умирает, каждое чтение может ухудшить состояние. Поэтому эксперт сначала оценивает риск, затем делает посекторную копию с контролем ошибок. Потом исследуется копия, а не исходный носитель.

bad sectors SMART service area write blocker forensic image
СимптомДиск стучит, не определяется или виден с неверным объемом.
ДиагностикаПроверка питания, интерфейса, SMART, служебной области, доступности секторов.
Безопасное чтениеСначала читаются наиболее доступные зоны, проблемные участки обрабатываются осторожно.
ОбразСоздается копия, фиксируются ошибки чтения и хеши.
АнализФайловая система, удаленные данные, метаданные, временные метки.

SSD / USB / SD

Флеш-носители: данные лежат не там, где кажется

У SSD, USB-флешек и карт памяти нет пластин и головок. Вместо этого есть микросхемы NAND и контроллер, который постоянно переводит “логические адреса” в реальные страницы памяти.

Плата SSD с контроллером и микросхемами памяти
SSD-плата: контроллер и микросхемы NAND. Контроллер - ключ к тому, как данные превращаются в файлы.

Как проходит запрос чтения

Компьютер
SATA / NVMe / USB
Контроллер
FTL + ECC + wear leveling
NAND chips
страницы и блоки

Компьютер просит “сектор 123”. Контроллер решает, в какой микросхеме, блоке и странице этот сектор сейчас реально лежит. Поэтому прямое чтение NAND без сборки трансляции обычно дает не готовые файлы, а хаос фрагментов.

Контроллер

Главный диспетчер. Управляет адресацией, ошибками, износом, служебными таблицами и режимами безопасности.

NAND chips

Физическая память. Данные записываются страницами, стираются блоками, а сбойные блоки обходятся.

Трудность восстановления

Если контроллер умер, надо читать микросхемы напрямую и логически собирать образ обратно.

Flash глубже

SSD-архитектура: почему это маленький компьютер внутри компьютера

SSD не просто “быстрый диск”. Внутри есть процессор-контроллер, память, каналы связи с NAND, служебные таблицы, коррекция ошибок и запасные области.

Слои SSD/flash-носителя

ИнтерфейсSATA, NVMe, USB или SD. Это язык, на котором компьютер разговаривает с устройством.
КонтроллерМини-процессор накопителя. Он решает, куда писать, откуда читать, какие ошибки исправлять.
FTL-таблицыFlash Translation Layer: карта перевода “логический сектор” -> “реальная страница NAND”.
NAND channelsПараллельные дороги к микросхемам памяти. Чем их больше, тем выше скорость и сложнее сборка дампа.
Blocks / pagesСтраницы читаются и пишутся, блоки стираются. Это главная причина странного поведения flash.
Over-provisioningСкрытая запасная область. Пользователь ее не видит, но контроллер использует ее для замены изношенных ячеек.

Три слова, которые надо не бояться

ECC - математическая коррекция ошибок. Flash без нее быстро начал бы отдавать битые данные.

TRIM - команда ОС: “эти блоки больше не нужны”. После TRIM восстановление удаленных файлов на SSD часто намного хуже, чем на HDD.

Garbage collection - внутренняя уборка SSD. Контроллер сам переносит и стирает блоки, даже когда пользователь ничего не копирует.

Что делает контроллер Объяснение без жаргона Экспертный вывод
Wear levelingРаспределяет износ, чтобы одна область памяти не умерла первой.Файл может физически переезжать, хотя логически путь не менялся.
Bad block managementИсключает плохие блоки и заменяет их запасными.Ошибки памяти могут скрываться до момента серьезного сбоя.
ECCИсправляет битовые ошибки в считанных данных.При chip-off нужно правильно применить ECC, иначе дамп будет грязным.
FTLВедет карту соответствия логических и физических адресов.Без восстановления FTL сырые NAND-дампы не превращаются в нормальный образ.

NAND

Страницы, блоки и почему SSD “перемешивает” данные

NAND-память нельзя понимать как тетрадь, где файл записан подряд. Это склад ячеек, где контроллер раскладывает фрагменты так, чтобы ускорить работу и продлить жизнь памяти.

Схема NAND flash: страницы и блоки
В NAND данные читаются и пишутся страницами, а стираются более крупными блоками.
  • Page. Минимальная единица чтения/записи. Условно “лист”.
  • Block. Группа страниц. Стирать часто можно только целый блок, не одну страницу.
  • ECC. Коррекция ошибок. Нужна, потому что flash со временем дает битовые ошибки.
  • Wear leveling. Распределение износа. Контроллер переносит записи, чтобы одни ячейки не умерли раньше других.
  • FTL. Flash Translation Layer. Таблица перевода логических адресов в физические места NAND.

Как один логический файл может лежать физически

Файл A
кусок 1
Служебно
FTL
Файл B
кусок 1
Bad block
обход
Файл A
кусок 2
Файл A
кусок 3

Для пользователя файл “лежит рядом”. Внутри flash контроллер может хранить его фрагменты в разных местах, добавлять служебные данные, обходить плохие блоки и менять расположение со временем.

USB и SD отдельно

USB-флешка и карта памяти: маленькие, но не простые

И USB-флешка, и SD/microSD-карта обычно построены вокруг NAND-памяти и контроллера. Разница в корпусе, интерфейсе, качестве контроллера и способе подключения.

Внутренности USB-флеш-накопителя
USB-флешка: разъем, плата, контроллер, NAND. В некоторых microSD все это спрятано в монолитном корпусе.
Элемент
Что делает
Что может пойти не так
Разъем / контакты
Физическая точка подключения к компьютеру, телефону, регистратору или кардридеру.
Отломан разъем, окислены контакты, плохая пайка, карта видится только иногда.
Контроллер
Переводит команды USB/SD в операции с NAND-памятью.
При сбое устройство может показывать 0 байт, неверный объем или вообще не определяться.
NAND-память
Физическое хранилище данных, часто одна или несколько микросхем.
Износ, битовые ошибки, повреждение кристалла, плохие блоки.
Монолит
В microSD и некоторых USB плата и чипы залиты в единый корпус.
Chip-off сложнее: нужно искать технологические контакты и читать память специальными методами.
Почему это важно: в делах часто встречаются флешки, карты памяти телефонов, видеорегистраторов, камер и дронов. Малый размер не означает простое восстановление: иногда вся проблема в разъеме, иногда в контроллере, а иногда в самой NAND-памяти.

Восстановление flash

Когда USB/SD/SSD не читается: логика chip-off

Chip-off - это не магия. Это обход штатного контроллера: микросхемы памяти читаются напрямую, а потом данные собираются обратно с учетом ECC, XOR, порядка страниц и трансляции.

Внутренности USB-флеш-накопителя
USB-флешка внутри: разъем, контроллер, NAND-память, плата. Маленький корпус скрывает полноценную систему хранения.
1. Штатный доступПроверить, определяется ли носитель через USB/SD/SATA/NVMe и виден ли полный объем.
2. Прямое чтениеЕсли контроллер не дает доступ, микросхемы NAND читают программатором.
3. Исправление ошибокПрименяются ECC, проверка bad blocks, реконструкция порядка страниц и блоков.
4. Сборка образаИз физических дампов собирают логический образ, похожий на то, что видел компьютер.
5. Файловый анализТолько после этого ищут файлы, удаленные данные, метаданные и следы действий.

Самая важная мысль

В flash-носителях “найти микросхему памяти” недостаточно. Эксперту нужно восстановить смысловую карту: какой кусок NAND соответствует какому логическому сектору. Без этого дамп может быть технически прочитан, но практически бесполезен.

Оптические носители

CD, DVD, Blu-ray: лазер, дорожка, сессии

Оптический диск - это физическая поверхность и структура записи. Эксперт смотрит не только “открывается ли диск”, но и TOC, сессии, ошибки чтения, царапины и состояние отражающего слоя.

Нижняя сторона оптического диска
Нижняя сторона оптического диска: поверхность чтения. Радиальные и круговые повреждения влияют по-разному.

Слои, которые важно представить

Label / защитный слойВерхняя сторона. Повреждение сверху иногда критичнее, чем кажется.
Отражающий слойВозвращает лазерный сигнал. Повреждение может сделать данные нечитаемыми.
Слой данныхПиты/метки или изменяемый слой записи. Здесь закодирована информация.
ПоликарбонатПрозрачная основа, через которую лазер читает дорожку.
1. Lead-in / TOC Оглавление диска. Подсказывает приводу, где дорожки, сессии и начало данных.
>
2. Сессии и дорожки Диск мог записываться в несколько заходов. Новая сессия не всегда стирает старую.
>
3. Файловая система ISO 9660 или UDF превращают сектора диска в папки и файлы.
Что проверяют Почему это важно Что это может дать
TOCTable of Contents говорит приводу, где находятся дорожки и сессии.Если TOC поврежден, файлы могут быть физически на диске, но не видны обычной ОС.
СессииДиск мог записываться несколько раз.Можно найти старые или незакрытые сессии.
Ошибки чтенияЦарапины и загрязнение дают сбои по секторам.Нужно посекторное чтение, повторные попытки, иногда разные приводы.
Файловая системаISO 9660, UDF и другие структуры могут быть повреждены.Можно восстановить каталог или извлекать файлы по сигнатурам.

RAID

RAID: когда один “диск” на самом деле состоит из нескольких

RAID делает из нескольких физических дисков один логический массив. Для эксперта главная задача - понять порядок дисков и правила раскладки данных.

Упрощенная RAID 5-раскладка

Stripe
Disk 1
Disk 2
Disk 3
Disk 4
1
A1
A2
A3
P(A)
2
B1
B2
P(B)
B3
3
C1
P(C)
C2
C3
4
P(D)
D1
D2
D3

P - parity, контрольная информация. Она позволяет пережить потерю одного диска, но только если массив правильно собран.

Что нельзя перепутать

Если ошибиться в параметрах RAID, эксперт получит красивый, но ложный набор данных. Поэтому фиксируются диски, порядок, размер блока, смещение, тип массива и схема parity.

  • RAID 0: скорость, но без отказоустойчивости.
  • RAID 1: зеркалирование, одинаковые копии.
  • RAID 5/6: данные плюс parity.
  • RAID 10/50/60: комбинации уровней.
  • JBOD: диски последовательно объединены.
Параметр Что означает Почему критично
Порядок дисковВ какой последовательности контроллер видел накопители.Неверный порядок перемешает части файлов.
Block / stripe sizeРазмер фрагмента, который пишется на один диск перед переходом к следующему.Неверный размер ломает структуру файловой системы.
OffsetСмещение начала полезных данных.Без него образ начинается “не с того места”.
Parity rotationКак перемещается parity между дисками.Важно для RAID 5/6, иначе восстановление будет неверным.
RAID надо понимать как слой поверх дисков: сначала эксперт собирает правильный виртуальный массив из физических накопителей, и только потом внутри этого массива ищет разделы, файловую систему, каталоги, удаленные файлы и метаданные.

Файловые системы

Файловая система - это карта, а не сами вещи

В теме исследования цифровых носителей важна файловая структура: индексирование, восстановление, метаданные, MBR/GPT, MFT/FAT, каталоги, сигнатуры. Чтобы понять это, представь склад: данные - коробки, файловая система - карта склада.

1. Физический носитель HDD, SSD, USB, SD, оптический диск или RAID. Здесь реально лежат байты.
>
2. Таблица разделов MBR или GPT говорит: где начинается раздел, где заканчивается, какой у него тип.
>
3. Файловая система NTFS, FAT/exFAT, UDF, ext и другие структуры превращают блоки в файлы и папки.
Термин Простое объяснение Что смотрит эксперт
MBR / GPTОглавление диска: где какие разделы.Есть ли потерянные разделы, неверные границы, следы форматирования.
NTFSТипичная файловая система Windows.MFT, журналы, временные метки, признаки удаления, права, альтернативные потоки.
FAT / exFATЧасто встречается на флешках, картах памяти, регистраторах.Таблица размещения, цепочки кластеров, удаленные записи каталогов.
UDF / ISO 9660Часто применяется на оптических дисках.Сессии, каталоги, повреждение TOC, видимость старых записей.
extРаспространено в Linux-системах, NAS, регистраторах, встроенных устройствах.Inode, журналы, каталоги, временные метки, удаленные структуры.
Почему это важно в экспертизе: если файловая система повреждена, обычный проводник может сказать “файлов нет”. Но на уровне образа эксперт может увидеть разделы, старые записи каталогов, фрагменты файлов и метаданные.

Удаление и карвинг

Почему удаленный файл иногда жив, а иногда уже нет

Удаление обычно сначала меняет карту, а не обязательно стирает все содержимое. Но SSD, TRIM, перезапись и повреждения могут быстро уничтожить возможность восстановления.

Что происходит при удалении

До удаленияВ каталоге есть имя файла, в таблицах есть адреса его фрагментов, содержимое лежит в блоках.
После удаленияЗапись в каталоге помечается как свободная или изменяется. Содержимое часто еще лежит на носителе.
После перезаписиНовые данные заняли те же блоки. Старое содержимое обычно уже не восстановить.
После TRIM на SSDОС сообщает SSD, что блоки больше не нужны. Контроллер может очистить их внутренне.

Карвинг простыми словами

Если карта файловой системы потеряна, эксперт ищет файлы по сигнатурам: например, у JPEG, PDF, DOCX и ZIP есть характерные заголовки и внутренняя структура. Это похоже на поиск страниц книги без оглавления.

Минус: карвинг может найти содержимое без исходного имени, пути и точных дат. Поэтому метаданные файловой системы ценнее, чем просто “нашли файл”.

Ситуация Шанс восстановления Почему
Файл удален на HDD, место не перезаписаноЧасто хорошийСодержимое может оставаться в секторах, а запись каталога частично сохраниться.
Файл удален на SSD с TRIMЧасто плохойКонтроллер может очистить блоки после команды TRIM.
Повреждена таблица разделовСредний или хорошийРаздел может быть найден по сигнатурам файловой системы.
Файловая система разрушена, но данные не перезаписаныЗависит от фрагментацииМожно применять карвинг, но имена, пути и даты могут потеряться.

Экспертная цепочка

Почему сначала копия, а потом анализ

В цифровой экспертизе техническая аккуратность равна смыслу: если изменить исходный носитель, можно испортить доказательство или исказить временные следы.

1. ОсмотрМодель, серийный номер, интерфейс, состояние, повреждения, комплектность.
2. Защита записиWrite blocker или режим, исключающий изменение исходного носителя.
3. КлонированиеПобитовый или посекторный образ. Ошибки чтения фиксируются.
4. КонтрольХеш-суммы, журнал действий, параметры оборудования и ПО.
5. Анализ копииФайлы, удаленные объекты, метаданные, сигнатуры, временная линия.

Физическое клонирование

Копируются сектора/блоки всего доступного пространства. Это лучший путь, когда важны удаленные данные, следы файловой системы и скрытые области.

Логическое клонирование

Копируются видимые файлы и папки. Быстрее, но может потерять удаленные данные, slack space, скрытые области и часть метаданных.

Содержательный анализ

Что ищут после восстановления доступа

После получения образа эксперт уже работает не только с железом. Он ищет цифровые следы: файлы, удаленные объекты, метаданные, временные метки и признаки изменения.

Файловая система

Разделы, каталоги, таблицы размещения, журналы, MFT/FAT/UDF/EXT и другие структуры. Они объясняют, где и как лежали файлы.

Удаленные данные

Файл может быть удален из каталога, но его содержимое еще лежит в свободном пространстве или фрагментах.

Метаданные

Временные метки, авторы, пути, EXIF, свойства файлов, информация приложений. Часто важнее самого имени файла.

Сигнатурный поиск

Поиск по заголовкам файлов. Помогает найти данные, когда каталог разрушен или файл удален.

HEX-представление

Просмотр данных как байтов. Нужен, когда программа “не понимает” файл, а эксперт проверяет структуру вручную.

Временная линия

Сопоставление создания, изменения, доступа, удаления, подключения устройств и действий пользователя.

Главный фильтр смысла

Найденный файл сам по себе еще не ответ. Эксперт смотрит: где он был найден, был ли удален, когда появился, какими программами связан, совпадает ли с другими следами, нет ли признаков повреждения или искусственного изменения.

Шпаргалка

14 вещей, которые надо запомнить

Если времени мало, выучи эти пункты. Они удерживают всю техническую часть темы.

  • 1. HDD - механика. Пластины, головки, шпиндель, электроника и служебная область. Главный риск - физическое ухудшение при чтении.
  • 2. SSD/USB/SD - flash плюс контроллер. Данные распределяются через FTL, ECC и wear leveling.
  • 3. NAND читается страницами, стирается блоками. Поэтому восстановление flash требует понимания физической структуры памяти.
  • 4. Контроллер flash - переводчик. Если он умер, прямой дамп микросхем еще нужно собрать в логический образ.
  • 5. TRIM меняет правила игры. На SSD удаленные данные могут исчезать быстрее, потому что контроллер получает команду очистить ненужные блоки.
  • 6. USB и SD тоже имеют архитектуру. Разъем, контроллер, NAND, иногда монолитный корпус. Маленький размер не значит простое восстановление.
  • 7. Оптический диск зависит от поверхности, TOC и сессий. Царапины и незакрытые записи могут скрыть данные от обычного просмотра.
  • 8. Файловая система - карта. Она говорит, где лежат файлы, как они называются, какие у них даты и какие блоки им принадлежат.
  • 9. MBR/GPT - оглавление разделов. Если оно повреждено, раздел может пропасть из проводника, но его еще можно найти в образе.
  • 10. Удаление часто сначала меняет карту. Содержимое может оставаться, пока его не перезаписали или не очистил SSD.
  • 11. Карвинг ищет файл без карты. Он полезен, но может потерять имя, путь и часть временного контекста.
  • 12. RAID - это правила раскладки. Без порядка дисков, размера блока, offset и parity невозможно надежно собрать массив.
  • 13. Физический образ богаче логической копии. Он сохраняет удаленные данные, свободное пространство и низкоуровневые следы.
  • 14. Анализ не равен открытию файлов. Нужны метаданные, временные метки, сигнатуры, удаленные объекты, ограничения чтения и контекст.

Самопроверка

Проверь, что картина собралась

Нажми “Показать ответ” и сверяй себя. Это не экзамен, а быстрый способ закрепить железо без боли.

1. Почему восстановление SSD сложнее, чем просто копирование файлов?
Потому что внутри SSD данные физически распределяет контроллер: FTL, ECC, wear leveling, bad blocks. Видимый сектор не обязательно лежит подряд в NAND.
2. Почему эксперт предпочитает посекторный образ?
Он сохраняет не только видимые файлы, но и удаленные данные, свободное пространство, следы файловой системы и ошибки чтения. Анализ проводится на копии, исходник меньше рискует.
3. Что такое служебная область HDD?
Это внутренняя зона диска с микропрограммой, таблицами дефектов и калибровочными данными. При ее повреждении диск может определяться неверно или не читать данные.
4. Что нужно знать для сборки RAID?
Тип массива, порядок дисков, размер блока/stripe, offset, схема parity и состояние каждого диска. Иначе логический образ будет неверным.
5. Почему оптический диск может содержать данные, но не открываться в проводнике?
Может быть поврежден TOC, сессия не закрыта, файловая система разрушена или часть секторов плохо читается. Данные иногда извлекают посекторно или по сигнатурам.
6. Чем файловая система отличается от самих данных?
Файловая система - это карта: имена, папки, адреса блоков, даты и служебные записи. Сами данные - это содержимое в блоках. Карта может быть повреждена, но часть содержимого еще может лежать на носителе.
7. Почему карвинг не всегда дает полноценный файл “как был”?
Карвинг ищет файл по сигнатурам и структуре, но может не восстановить исходное имя, путь, даты и порядок фрагментов, особенно если файл был сильно фрагментирован.

Открытые источники

Изображения и технические ориентиры

Сайт сделан как самостоятельный учебный разбор устройства цифровых носителей, восстановления данных и файловых систем. Изображения использованы из открытых источников Wikimedia Commons.

Техническая основа

  • Устройство HDD, SSD, USB/SD, оптических дисков и RAID-массивов.
  • Принципы безопасного получения копии, восстановления данных и анализа файловых систем.
  • Общие технические подходы цифровой криминалистики без привязки к одному конкретному тексту.

Изображения

Как читать эту презентацию

Это учебный визуальный курс: он сначала дает простую модель, потом раскрывает архитектуру носителей, затем показывает, как из физического устройства перейти к файлам, метаданным и восстановлению данных.