一种清洁严重污染盘片的方法
[康艳荣1 
, 赵露1 , 郭丽莉1 , 龙源1 , 鲍梦湖1 , 张耀国1 , 张倩1 , 王博1 , 雷超2 , 张宇3 ]
, 赵露引用本文
康艳荣, 赵露, 郭丽莉, 龙源, 鲍梦湖, 张耀国, 张倩, 王博, 雷超, 张宇. 一种清洁严重污染盘片的方法[J].刑事技术, 2021,46(3):293-298
KANG Yanrong, ZHAO Lu, GUO Lili, LONG Yuan, BAO Menghu, ZHANG Yaoguo, ZHANG Qian, WANG Bo, LEI Chao, ZHANG Yu. A Cleaning Way to Rescue Seriously-contaminated Platter from Soaked HDD[J]. Forensic Science and Technology,2021,46(3): 293-298
doi: 10.16467/j.1008-3650.2021.0064
KANG Yanrong, ZHAO Lu, GUO Lili, LONG Yuan, BAO Menghu, ZHANG Yaoguo, ZHANG Qian, WANG Bo, LEI Chao, ZHANG Yu. A Cleaning Way to Rescue Seriously-contaminated Platter from Soaked HDD[J]. Forensic Science and Technology,2021,46(3): 293-298
Permissions
Copyright©2021, 《刑事技术》编辑部
《刑事技术》编辑部
一种清洁严重污染盘片的方法
第一作者简介:康艳荣,女,河北乐亭人,硕士,研究员,研究方向为电子物证。E-mail: kangyanrong@cifs.gov.cn
摘要
随着电子设备的应用普及,电子物证在证明案件事实过程中所起的作用越来越重要。为逃避罪责,嫌疑人恶意破坏电子物证的手段也越来越极端,如火烧、水泡等等。公安机关侦查办案过程中,经常面临存储着关键案件数据的硬盘被扔进污水沟、鱼塘损坏后,电子数据无法恢复这一难题。针对这一问题,在磁头更换、盘体电机更换、ROM更换等技术已相对成熟的前提下,本文从样本制备、清洁溶剂配制、清洁效果分析等方面重点研究了污染盘片的清洁方法,并成功实现了对污染盘片的清洁,解决了浸水类硬盘的数据恢复难题,为公安机关打击犯罪提供了有力的技术支撑。
关键词:
电子物证; 盘片清洁; 数据恢复; 硬盘浸水; 污染盘片
中图分类号:DF793.2
文献标志码:A
文章编号:1008-3650(2021)03-0293-06
A Cleaning Way to Rescue Seriously-contaminated Platter from Soaked HDD
KANG Yanrong1 , ZHAO Lu1 , GUO Lili1 , LONG Yuan1 , BAO Menghu1 , ZHANG Yaoguo1 , ZHANG Qian1 , WANG Bo1 , LEI Chao2 , ZHANG Yu3
, ZHAO Lu
Abstract
Digital forensics is becoming more and more indispensable for the relevant cases to have genuine facts revealed. At times, criminals have intentionally damaged digital evidence by throwing the crime-related electronic devices into water or burning them to avoid conviction. Consequently, the public security organs often face the hard disks that were taken from sewage ditch or pond, being embarrassed with the difficulty on how to recover the electronic data stored in those disks. Fortunately, countermeasures are increasingly getting attainable with the progressing of relatively mature technologies, e.g., replacement of magnetic head/disk motor/ROM. A cleaning approach was here tried into rescuing the contaminated platter from soaked HDD through the procedure of sample preparation (having HDD soaked into dirt-spoiled water), cleaning solvents determination and cleaning effect evaluation, having the contaminated disks finally depurated. There was a valuable discovery that the cleaning should be immediately carried out with the platter/disk when it had been fetched out from water, leaving otherwise inability to have the data extracted because of the unsolvable impurities adhered into the platter/disk. Thus, a cleaning way was successfully built up, demonstrating its ability to solve the problem of data recovery from flooded hard disks. Technical reference and assistance would be herewith provided for the law enforcement agencies to crack down on the crimes alike.
Key words:
electronic forensics; platter cleaning; data recovery; HDD soaking; contaminated platter
自1956年IBM生产了世界上第一块硬盘驱动器到现在, 随着信息化进程的不断推进, 人类依赖硬盘存储各种电子数据的需求不断增加, 当存储重要数据的硬盘失去响应或受到严重损坏, 特别是当这种情况发生在公安机关侦办案件过程中时, 数据恢复则成为了至关重要的一环。ACE Lab[1]给出了常见的数据恢复方法和恢复工具, 包括电路板、固件、磁头替换法和硬盘盘体严重损坏时将盘片用新的盘体组装法。这些方法解决了硬盘的固件故障、盘片轻微划伤、磁头故障、电路板故障等的数据恢复问题, 但无法解决硬盘浸水后的污染盘片的清洁问题。对于高容量的盘片污染的清洁技术, 国内外鲜有文献报道。文献[2]提到使用Gillware's state-of-the-art platter burnishing technology(Gillware公司的表面抛光技术)可以修复被污染的盘面, 但没有给出详细的案例。文献[3]在介绍硬盘修复业务时详细介绍了state-of-the-art platter burnishing technology 的工作原理及应用对象, 该技术主要应用于划伤盘片的修复; Yasuhira等[4]介绍了一个使用超声清洗机(USD-1R)工具清洗、去离子水方法干燥、PFPE和HFE盘片涂层的方法成功从一块被海水浸泡的硬盘中提取出关键数据的案例, 但该案例中盘片污染不是很严重, 且是容量只有60 GB的低密度硬盘。
本文介绍一个在污水中浸泡过的单碟容量1 000 GB的高密度硬盘盘片清洁案例, 与Yasuhira报道的案例相比有两点不同:第一, 污水成分比海水成分更加复杂, 需要配制多种清洁溶剂, 无法单纯依靠超声清洗机进行清洁; 第二, 低密度硬盘磁头飞行高度高, 盘腔内允许有小的颗粒物, 对碟片的洁净度要求较低, 而高密度硬盘磁头飞行高度低, 盘腔内微小的颗粒物也会造成很大的影响, 对碟片的洁净度要求很高。针对上述情况, 笔者建立了一种污染盘片的清洁方法, 并成功实现了对污染盘片的清洁, 解决了浸水类硬盘的数据恢复这一难题, 为公安机关打击犯罪提供了有力的技术支撑。
通常情况下, 硬盘故障包括逻辑故障和物理故障两大类, 其中逻辑故障指的是基于文件系统和固件层面的故障, 主要包括因误操作比如删除、格式化或病毒破坏、系统崩溃等造成的数据丢失, 以及固件损坏造成的数据丢失; 物理故障指的是基于硬件层面的故障, 主要包括电路板损坏、磁头损坏、盘片划伤、电机损坏、盘片污染等造成的数据丢失。业界现有的数据恢复技术可以实现对硬盘逻辑故障的恢复, 也可以通过传统的硬件替换方式[5, 6]实现对电路板损坏、磁头损坏、电机损坏等硬件故障硬盘的数据恢复。其中电机损坏修复过程中, 需要将盘片从一个盘体移动到另一个盘体, 低密度硬盘对盘片的动平衡精度要求不高, 但高密度硬盘盘片的动平衡如果不做精确校正, 盘片移动后磁头将无法准确定位读取数据。目前业内比较知名的专业设计开盘工具的塞尔维亚HDDSURGERY公司[7], 只有碟片整体搬移的工具和解决方案, 且只能解决主轴电机机械性卡死的故障, 对于碟片污染后需要把每张碟片取下来清洁的, 没有解决方案; 对于碟片轻微划伤的, PC-3000[8]等工具可以实现跃过划伤区读取硬盘数据。整个硬盘数据恢复技术中, 最难的是污染盘片的清洁、碟片动平衡校正、ROM损坏后硬盘的数据恢复问题, 对于ROM损坏(即SA [system area]损坏)的硬盘数据恢复难题目前仍处于研究阶段, 主要是使用磁力显微镜(Spin-stands Microscopy)[9, 10]将数据信息以图信号方式读出, 而本文主要针对污染盘片清洁这一国际难题展开了相关研究。
1 实验
1.1 清洁原理
本实验中的清洁是通过化学方法去除被清洁表面上的可见和不可见杂质的过程, 所涉及的泥水污染物成分主要有有机物和无机物两大类, 实验选用的清洁方案主要作用机制是通过水的溶解作用溶解污染物中含有的碳水化合物等成分; 通过加热作用加速污垢的物理与化学反应速度; 通过擦洗、喷射清洗液等机械作用产生的压力、摩擦力和流速帮助清洁; 通过清洁溶剂与污垢、污垢与被清洁物体、被清洁物体与清洁溶剂之间的交界面的活性作用, 如湿润、乳化、分散、溶解等帮助清洁; 通过清洁溶剂成分的化学反应, 实现对污染物中有机物、无机物的清洁。
1.2 样本制备
本实验选择单碟容量为1 TB、总容量为1 TB的Seagate机械硬盘两块作为样本。
样本1:将其中一块硬盘的电路板、磁头拆卸保留后, 将盘体扔入泥土污水桶中, 浸泡10 min, 取出硬盘(如图1), 在阳光下干燥5~6 min(如图2), 带回无尘室使用无水乙醇进行初步清洁。
 | 图1 浸泡后盘片污染情况(样本1)Fig.1 Contaminated HDD from having it submerged into dirty water |
 | 图2 污染物晒干后的盘片情况(样本1)Fig.2 The contaminated HDD after drying under sunlight |
样本2:将其中另一块盘的盘片直接拆卸后扔入泥水污水桶中, 浸泡10 min, 将盘片取出后不干燥(如图3)直接带回无尘室使用无水乙醇进行初步清洁。
 | 图3 浸泡后盘片污染情况(样本2)Fig.3 The contaminated HDD just taken out of dirty water |
1.3 清洁实验
本次实验所用到的清洁溶剂主要有无水乙醇, 纯水, 洗手液, 5%浓度的盐酸, 碳氢清洗剂, 表面活性剂。在清洁前使用70倍显微镜观察样本1和样本2盘片情况(如图4所示)。实验中, 首先依次使用碳氢清洗剂、表面活性剂、无水乙醇和纯水对样本1和样本2进行清洁, 在使用每种清洁溶剂后均使用超声波进行清洗, 70倍显微镜下观察发现样本1和样本2盘片表面仍有细小污染物存留(如图5); 接着, 使用洗手液、碳氢清洗剂、表面活性剂、无水乙醇和纯水对样本1和样本2进行清洁并结合超声波清洗, 70倍显微镜下观察发现样本1盘片表面仍有少量细小污染物存留, 样本2盘片表面已清洁干净(如图6); 最后, 使用5%浓度的盐酸、无水乙醇、纯水、洗手液、碳氢清洗剂、表面活性剂对样本1进行清洁并结合超声波清洗, 70倍显微镜下观察发现样本1仍有少许杂质(如图7), 图中红色圆圈圈出了盘片内径边缘部分的少许杂质; 主要清洁过程见表1。
 | 图4 样本在显微镜下的原始状态 (左:样本1; 右:样本2)Fig.4 The microscope-observed surfaces of platters (Left/Right: sample 1/2) from the contaminated HDDs |
 | 图5 第一次清洗后样本在显微镜下的状态 (左:样本1; 右:样本2)Fig.5 The microscope-displayed surfaces of platters (Left/Right: sample 1/2) after first cleaning |
 | 图6 第二次清洗后样本在显微镜下的状态 (左:样本1; 右:样本2)Fig.6 The microscope-revealed surfaces of platters (Left/Right: sample 1/2) after second-time cleaning |
 | 图7 第三次清洗后样本1在显微镜下的状态Fig.7 The microscope-exposed surface of platter (sample 1) after third-time cleaning, still showing tiny impurities |
 | 表1 清洗过程 Table 1 Cleaning process |
2 结果与讨论
本文中样本1盘片逐步按照上述三个流程依次进行清洁后, 清洁效果不理想, 未能成功提取数据; 样本2盘片逐步按照前两个流程依次进行清洁后, 清洁效果较好, 将清洁后的样本2盘片重新安装到硬盘盘体中, 使用PC-3000工具成功识别了硬盘并读取了数据, 如图8所示。
 | 图8 样本2数据读取Fig.8 Data extraction from the cleaned platter of HDD (sample 2) |
本文针对两种不同样本进行了清洁实验, 样本1是在泥水污水中浸泡后又经过了日晒等一段时间的干燥, 才送到无尘室进行清洁; 样本2是在泥水污水中浸泡后直接送到无尘室进行清洁。从实验结果可以得出如下三点:
第一, 浸水后的硬盘经过一段时间的干燥会导致盘片污染物的附着力变强, 且水分的蒸发也在盘片形成了新的污染物, 清洁难度大且成功率低; 相反, 浸水后的硬盘直接送到无尘室进行清洁, 清洁难度小且成功率相对较高。因此, 在污水中浸泡的硬盘应尽快送到专业无尘室进行清洁, 如无法做到, 也应该尽量使此类硬盘处于湿润状态, 比如用无水乙醇浸泡, 直到送至无尘室进行清洁为止。
第二, 泥水污水与海水相比, 虽然腐蚀性比海水弱, 但其成分复杂, 单一的清洁溶剂无法有效发挥作用, 因此需要多种清洁溶剂相互配合使用。
第三, 生活污水、工业污水与泥土污水所含污染物质成分不一样, 建议先进行理化检验, 根据不同污水成分进行清洁溶剂的选取与研制。
物理损坏硬盘的数据恢复一直是业界公认的一个技术难题, 尤其是污染盘片的清洁难题, 一直未得到有效解决, 使得大量物理损坏的硬盘数据恢复工作不得不放弃。希望本文的实验能够给从事电子取证、数据恢复专业人员一些参考和动力, 让更多的关键证据能够成功“ 获救” , 为公安机关侦破案件提供更强有力的技术支撑。
参考文献
| [1] |
|
| [2] |
|
| [3] |
|
| [4] |
|
| [5] |
|
| [6] |
|
| [7] |
|
| [8] |
|
| [9] |
|
| [10] |
|