Створення карти ентропії даних під час генерації образу диска в UFS Explorer
Створення карти ентропії даних є цінною математичною технікою, яка час від часу використовується у сфері відновлення даних і цифрової криміналістики. Така карта дозволяє фахівцям швидко оцінити цілісність і структуру даних у образі диска, зокрема, визначити пошкоджені, зашифровані, стиснуті або стерті області, орієнтуючись на їхні показники ентропії. При використанні цієї карти разом із картою дефектів, інформація про розподіл ентропії також допомагає визначити вплив дефектних секторів на області, що містять дані, і відповідним чином скорегувати процес відновлення даних.
Попри те, що функція створення карти ентропії корисна для фахівців, вона доволі рідко зустрічається в програмах для відновлення даних. Тож користувачеві доводиться експортувати файл образу та використовувати додаткові інструменти, здатні обчислювати та відображати зміни ентропії на носії даних. У редакціях Professional і Technician UFS Explorer це обмеження долається шляхом створення візуальної карти ентропії даних під час генерування образу диска. Це програмне забезпечення дозволяє користувачам відстежувати варіації ентропії в режимі реального часу впродовж процедури створення образу, а також зберігати згенеровану карту ентропії для подальшого аналізу або для її зіставлення з картою станів блоків для кращого розуміння загального стану даних.
Ця функція доступна в інтерфейсі ПЗ через опцію "Зберегти карту ентропії даних", що знаходиться у вкладці "Зберегти додаткові дані" в нижній частині діалогового вікна інструмента для створення образів дисків (Disk Imager).
Нижче наведений один з можливих сценаріїв, який демонструє, як працює ця функція. Нашому фахівцеві потрібно відновити файли з частково перезаписаного SSD. Клієнт випадково запустив швидке форматування цього диска, що, як і можна було очікувати, активувало команду TRIM. Проте SSD був негайно відключений від системи. Зважаючи на це, є ймовірність, що у процесі виконання TRIM не всі блоки були опрацьовані, тож решта з них все ще може містити дані, які можна відновити.
Перш ніж підключити цей SSD до комп'ютера, слід переконатися, що сховище більше не отримуватиме команд TRIM, які можуть знищити рештки даних, що залишилися. Для цього ми можемо скористатися блокувальником запису або ж вимкнути TRIM безпосередньо в ОС. Після цього ми можемо розпочати створення образу диска за допомогою UFS Explorer.
Спершу запустимо інструмент для створення образів дисків для відповідного накопичувача за допомогою опції "Зберегти образ диска" в його контекстному меню.
У діалоговому вікні конфігурації завдання зі створення образу слід обрати режим "Повне побітове зберігання відразу", щоб створити простий образ диска.
Після цього нам потрібно вказати всі параметри, що їх вимагає інструмент для створення образу. Більш докладні інструкції можна знайти у статті Як створити образ диска.
Зробивши всі потрібні налаштування, переходимо до вкладки "Зберегти додаткові дані". У цій вкладці ми ставимо позначку поруч з опцією "Зберегти карту ентропії даних", а також обираємо використовувати високоточний формат карти для більш точного аналізу.
Карта буде збережена як файл *.SDEF у місці, вказаному поруч з параметром "Розташування метаданих".
Після цього натискаємо кнопку "Стартувати".
Під час створення образу програмне забезпечення обчислює значення ентропії в режимі реального часу, відображаючи області високої, низької та нульової ентропії на кольоровій карті, де:
Ціановий колір означає нульову ентропію. Такі області повністю складаються з "нулів" через те, що до них або ніколи не записувалися жодні дані, або вони були стерті у результаті застосування методів незворотного видалення, наприклад, після виконання команди TRIM.
Яскраво-зелений вказує на низьку ентропію. Це типово для нестиснутих структурованих даних, таких як метадані файлової системи або прості документи.
Червоний колір відповідає високій ентропії. Це характерно для зашифрованих, стиснених або пошкоджених даних.
Ми можемо переміщатися картою за допомогою кнопок-стрілок або ж вибрати будь-який блок і негайно відкрити його в Шістнадцятковому переглядачі.
Цю карту також можна синхронізувати з картою станів блоків, щоб отримати більш повну картину.
Наша карта ентропії демонструє чітку закономірність: ми бачимо великі області з нульовою ентропією, з яких команда TRIM стерла дані, перезаписавши їх нулями. Проте існують також області ненульової ентропії, що вказує на те, що деякі з блоків все ж не були зачеплені TRIM.
Ми також можемо натиснути кнопку "Показати статистику карти" і порівняти кількість блоків за їхнім станом.
На основі цієї інформації можна зробити висновок, що певна частина даних все ще присутня в критичних областях сховища. Тому ми зосередимо наші зусилля на відновленні файлів з тих областей, ентропія яких відмінна від нуля.
Якщо нам знадобиться звернутися до цієї карти пізніше, ми можемо легко застосувати вже створений файл .*SDEF до файлу образу диска за допомогою інструмента "Застосувати (завантажити) карту".
Останнє оновлення: 15 квітня 2025 року