【技术实战】：加密移动硬盘（USB接口）开盘数据恢复实战

为了提高数据安全性，不少品牌的移动硬盘厂商都为旗下高端产品配备功能卓越的加密方法。加密加强了数据安全保护，但当硬盘出现故障时，使得硬盘数据恢复也遇到了极大了解密难题。本期，效率源工程师将对加密移动硬盘数据恢复进行详细解读。...



——硬盘开盘（第6期）

移动硬盘，一般采用USB接口，具有容量大、体积小、速度高、使用方便等特点。为了提高数据安全性，不少品牌的移动硬盘厂商都为旗下高端产品配备功能卓越的加密方法。比如西部数据（WD）就为自家的系列（如图1）配备了硬盘固件加密和USB固件加密（利用WDunlocker软件加密）。双重加密的确加强了数据安全保护，但在硬盘出现故障时，硬盘数据恢复也遇到了极大了解密难题。WD硬盘1TB移动硬盘WD My Passport Ultra系列，USB接口，外观完好，没有明显的摔伤痕迹。硬盘双重加密（硬盘固件加密+USB固件加密）。1、恢复盘A

有故障、存储有需要提取的数据的USB移动硬盘

2、镜像盘B

镜像拷贝数据，后期分析

3、配件盘C

更换磁头、更换电路板（与A固件版本相同的普通硬盘）使用中，硬盘突然不识别，通电有异响因本案例是USB接口且双重加密，需要使用到特殊方法进行解密，效率源抽调了资深的移动硬盘解密研究员组成专家组，全面展开数据恢复。

望：360度查看恢复盘A，外观上没有摔伤痕迹，包括最易变形的硬盘四周和边角。

闻：与DRS数据恢复系统（图2）相连，通电检测，有异响。问：据描述，本硬盘数据为高度机密。同时，硬盘除硬件加密，还通过WD自带的程序WDunlocker进行USB固件加密。

 切：更换恢复盘A的电路板后通电，仍旧有异响，排除是电路板引起。在双百级无尘工作室开盘检测，发现是0号盘片1号头位置盘片划伤（属于相当严重）（见图3）。综合评判，通过特殊手段还有希望恢复，但只有三成。具体的观察、检测、开盘等方法，在前4期均有详细讲解，此处不赘述。1、开盘，换磁头

继续在双百级无尘工作室，将配件盘C的磁头更换到恢复盘A上。具体方法在第1期中有介绍，不赘述。

2、电路板更换（ATA接口）

将配件盘C电路板（ATA接口）与恢复盘A的电路板更换。因为USB接口无法处理复杂的缺陷情况，所以需要更换转接口。

3、镜像，分头读取数据

故障检测中已经确定，硬盘0号盘片1号头位置盘片严重划伤，这种情况，不能直接读取，否则磁头会损坏，甚至造成其他盘片划伤，严重影响结果。效率源工程师使用DRS数据恢复就系统“分头读取”功能（图4），对硬盘进行分头处理，跳过盘片划伤区域，将恢复盘A数据转移到镜像盘B。4、特殊处理，解密

因为恢复盘A被双重加密，数据虽然镜像到了镜像盘B，但看不到原始数据，需要解密才实现正常识别硬盘，这也是案例的难点之一。

如果，恢复盘A只是硬盘固件加密，可直接利用DRS相关操作解密。但如果像本盘是“双重加密”，难度就直线升级，必须首先解决一个关键问题——要让恢复盘A弹出WDunlocker软件加密的解密对话框。而恢复盘A是一个有盘片划伤的故障盘，如果再次使用电脑启动，硬盘可能造成二次损坏，也可能出现不能读取的情况。

在数据恢复实践中，类似情况经常发生，效率源工程师制定了一套完整有效的解决方案来应对，利用第二次电路板更换的方式弹出对话框（具体操作略），既保护硬盘不受二次损坏，也同时显示出了解密对话框（图5）。5、恢复数据

此时，再使用效率源DRS数据恢复系统的数据提取功能，同时提取恢复盘A与镜像盘B的数据。在读取恢复盘A过程中，遇到坏道时，DRS会自动调整读取镜像盘B的数据。最终，数据恢复圆满成功（如图6）。编后语：

据效率源工程师介绍，本案例的最大难点有2处：（1）USB接口硬盘的复杂缺陷情况处理（分头读取）；（2）在不通过PC启动硬盘情况下弹出解密对话框。这2点，工程师都是利用自主研发的特殊手段进行处理，得以解决。同时，鉴于情况比较普遍，分头技术已经集成到最新的DRS数据恢复系统等产品中，通过点击操作就能完成。但类似于换板解密的操作，则需手动进行，对操作者的综合素材要求特别高，一定要有非常精湛的实操经验后才能着手，否则可能直接导致数据恢复失败。

【 技术实战】系列推荐：1、【技术实战】硬盘开盘第1期：WD硬盘盘片划伤成“环形跑道”的数据恢复之开盘检测2、【技术实战】硬盘开盘第2期：WD硬盘盘片划伤成“环形跑道”的数据恢复之换磁头3、【技术实战】硬盘开盘第3期:WD硬盘盘片划伤成“环形跑道”的数据恢复之热换板4、【技术实战】硬盘开盘第4期:：大战4天 东芝500G硬盘盘片碰伤“1个小点” 的数据恢复实战

5、【技术实战】硬盘开盘第5期：希捷500G硬盘被多次开盘 特殊手段抢救重要数据

    关注 效率源科技