1.前言

  關於資料救援的報價,並非每個人都有親身經驗 (當然不要遇到比較好),但若真的遇到了,第一件事情通常就是上Google查各家資料救援廠商、確認店家評價以及網站上是否已有報價;在資訊透明化的現代,救援的報價可說是越來越清楚了,不同故障項目都有很明確的價格帶;但知道自己的待救裝置狀況為何、會落在哪個價格帶,以及這些價格帶是如何訂的,又是另一回事,本文就以從業著角度來探討這些東西,並讓民眾多了解些運作原理。

2.難度是估價關鍵

  資料救援的本質,是將「因故障而無法叫出資料」的設備,修到可以叫出資料,再從中提取出有效資料並交還給客戶;有時提取出的資料還需經過救援工程師調校,才能變回有意義的資料 (例如磁碟陣列錯亂),所以故障修復難度資料恢復難度 就是定價的關鍵,畢竟越難的故障需要越多的工時、替換材料與人力去處理,且工程師薪水是最貴的。簡單來說,得先修好裝置才能救資料。

  至於常見的「只取幾個檔案,能不能算比較便宜」問題,因為這要求大多無法降低難度,所以如果救援結果出來、資料是完整且全面的,那價格就不會有變動;往好處想,救得出來的全部都能帶走。 (另外必須救到特定檔案/檔案類型」是能要求的,工程師也才能在斷垣殘壁中有些線索)

3.為何我們能夠免檢測費?

  跟大多數資料救援廠商不同,我們OSSLab是不會輕易跟顧客收取檢測費的,當然你可以說 這是為了留住客人的方針,但以「難度是估價關鍵」而言,先只靠外觀、運轉聲音、接上救援設備後顯示的資訊來判斷故障類型與救援成功率,對我們而言並不會太難,有一定經驗的業者都能辦到;當然同一件事情對不同的廠商,難度也會不一樣,因此資料救援不容易有個業界公認的統一價格標準,報價策略也會不一樣。

  不過也是會有需要先收檢測費的場合,通常是企業客戶的大型硬碟陣列出問題要救、且到收檢測費階段時 通常也已經開始在預作救援了,所以我們基本上是免檢測費的。

4.細數那些故障類型與報價

既然「難度是估價關鍵」,那救援時怎樣算難、怎樣算簡單? 若以設備故障方式分類,可粗分為以下幾種狀況,由簡至難──

  1. 軟體、邏輯層損壞 (不開盤即可處理)
  2. 壞軌、韌體、硬體層損壞 (可能需要開盤)
  3. SSD、記憶卡、USB隨身碟損壞 (閃存相關)
  4. 磁碟陣列損壞、磁碟陣列崩潰 (多顆硬碟交織的資料故障) 
  5. 刮盤等更麻煩的硬碟故障 (可能無法救援) 
  6. 勒索病毒、檔案加密、被駭客針對 

我們會在 1~3個工作日內提供診斷結果與報價,若客戶同意報價,我們會再繼續進一步的救援。


4-1.軟體、邏輯層損壞

估價:約新台幣$4000 ~ $9000

這等級故障的常見特徵:

  1. 進作業系統接上硬碟後,顯示「硬碟需要初始化」
  2. 進作業系統裝置管理員時,看得到硬碟圖示、硬碟容量也顯示正確,但就是點不進去、或讀不到裡面的資料
  3. 開機時出現「找不到開機區」訊息
  4. 誤刪檔案

這種狀況下硬碟本身通常”還”沒事、就是裡面有東西錯亂掉、或無法以一般工具復原,這時我們就會先將硬碟鏡像備份,再拿鏡像出來的硬碟image掃描分析、將檔案還原出來;不會直接在原本硬碟上操作、以免破壞初始現場、與耗盡硬碟機械元件的最後壽命。

誤刪後仍有硬碟圖示、但已無法正常存取的硬碟,要再用救援軟體掃描分析

就跟”資料救援廠商擅長領域不同”一樣,各救援軟體能掃出來的也不一定相同,我們都會運用,以求得最佳效果。

 


4-2.壞軌、韌體、硬體層損壞

估價:約新台幣$10000 ~ $30000

這等級故障的常見特徵:

  1. 硬碟接上電腦後完全找不到、無論是先接才開機、還是開機後才接上
  2. 電腦BIOS介面下,抓不到該硬碟的正確型號與容量、或至少一項顯示錯誤資訊
  3. 完全沒顯示在”裝置管理員”或”磁碟管理程式”的列表中、或有顯示但型號容量不正確
  4. 通電後硬碟本體出現異常運轉音敲擊音
  5. 通電後完全沒反應,連運轉的震動都沒有

  到這種程度就代表硬碟”本身”有地方壞了因為要先讓該硬碟正常工作才能導出資料,所以要先修好硬碟機械結構,哪邊零件壞了就要換哪邊,只有到這種程度才需要開盤,且要在無塵檯上操作;而因為市面上不會有人單賣硬碟磁頭或其他硬碟內的零件,所以要找一顆廠牌、容量、型號完全一致的良品碟當作替換材料,磁頭壞了就換磁頭、電路板燒了就換電路板,替換完所有需要零件後再組裝回去,並讓硬碟過電、看是否能檢測與鏡像,見招拆招。

  當然交換磁頭跟電路板還是會有各種變數,材料廠牌、容量、型號、甚至電路板都相同只是基本,上電後還要微調參數與排錯,不然可能讀不出東西、撈到沒意義的碎片、或遇到壞軌而讀不出來,更換後的磁頭也有使用壽命(這種等級故障的磁碟盤面通常會有足以妨礙精密磁頭壽命的汙染物,例如最初磁頭與盤面相撞造成的碎片粉末),耐心真的是資料救援工程師很重要的美德。

其中一種異常:硬碟斷電後,磁頭無法正確歸位

 


4-3.SSD、記憶卡、USB隨身碟損壞

估價:約新台幣$8000 ~ $30000

這等級故障的常見特徵:

  1. 閃存裝置突然就無法讀取、無法顯示內容

雖然SSD、記憶卡與USB隨身碟這樣運用閃存的裝置 體積小、便宜、沒有機械結構,但卻更能讓資料救援工程師晚上作惡夢──

  首先得看裝置的控制晶片與記憶體晶片類型,來判斷是否能救援,閃存介質的運作儲存方式也與硬碟不同,故障時不像上述的硬碟那樣有零件可以交換;閃存依照儲存方式還分成了SLC、MLC、TLC等不同壓縮等級,壓縮等級越高 資料就越難在故障時正確的讀取,若再搭配不同演算法的影響,要把損毀的資料救出來難度就會極高,連無神論者的工程師都會開始需要信神,因此並不是所有資料救援廠商都願意接這類型的案子,且即使是我們接閃存的案子,有把握的那種也要7個工作天才能提供報價(一般硬碟1~3天)。

  *雖然直到現在SSD已經很商業普及了、且各種儲存演算法也讓SSD不再如此短命,但個別儲存單元仍是有寫入次數上限的,越接近上限,整顆故障機率就越高,這告訴我們資料不能只裝在SSD或傳統硬碟裡,多備份、多涵蓋不同種類裝置備份 才能減少需要叫資料救援的機率。

  此外,救記憶卡跟隨身碟 對工程師需要更高的手藝:需要把裝置晶片解焊並搬移到其他電路設備上才能讀取,對封裝晶片還要將封裝的表層磨掉以露出接點──

小心磨除記憶卡的封裝表面

 

記憶卡接點裸露後,用飛線接至專門的介面卡作資料讀取、或是用PC-3000的Spider Board來接

 


4-4.磁碟陣列損壞、磁碟陣列崩潰

估價:約新台幣$20000 ~ $200000

  磁碟陣列是現在常見的一種儲存方式,從個人到企業都常用,如RAID 5這樣的形式就能容許陣列中特定一、兩顆硬碟掛掉還不至於全盤崩潰,但若當陣列有一顆硬碟壞掉、你插入一顆新硬碟準備重建陣列、但重建過程又有一顆硬碟壞掉、又是重建程序異常停止…等等,硬碟陣列就會崩掉,這狀況尤其好發於一般使用者,陣列出問題時 你以為替換了某個東西就能正常運作,但一步錯步步錯,最後情況從糟糕變成難以理解。

  這部份的資料救援價格就真的會是最高的,因為除了陣列組的加密方式、修復方式、磁碟數量之外,裡面儲存的檔案類型也會影響救援的難度,像是資料庫就不容許任何一位元的錯誤或缺失,或是虛擬伺服器這樣的、看起來是大檔案但實際上一堆碎檔的組合;因為陣列資料需要極度準確的組合,才能取出有意義的檔案,不但驗證是否可用需要時間,交期通常也很緊湊、因為這類案子大多都跟客戶企業運作命脈相關,這些都會是對資料救援廠商與旗下工程師們的考驗。

當陣列參數掉失時 需要手動排列正確 檔案系統才能正常工作

 


4-5.刮盤等更麻煩的硬碟故障

估價:視個案而定,可能會判定為無法救援


硬碟刮盤

  若傳統硬碟在運轉時摔落或撞擊,磁盤就可能會被還沒退回去的磁頭刮出亂七八糟的痕跡,以微觀角度而言,這是磁盤的世界末日,不但刮到的地方資料直接消失、一小圈就涵蓋了各資料區域的一部分,且盤面會被磨出的碎屑汙染,即使不計代價像 4-2 提到的那樣更換磁頭,也很難只靠一支磁頭撐到全場結束,這樣若有確定要救援的話,就會需要先收材料費,且難度會頗高。

  此外也有從火災現場出來的硬碟,這個就要看硬碟本身是否有被燒到或浸水 (因為磁盤的磁性物質怕極端高溫),以上都會由我們親自檢測後與客戶溝通並評估是否可以救援、與是否值得救援。

 


4-6.勒索病毒、檔案加密、被駭客針對

估價:同樣視個案而定,視處理方式可大可小

  勒索病毒與檔案加密是這幾年新興的攻擊手法,一種是公開散布惡意程式,一種是針對特定企業訂出完整攻擊計畫,加密資料同時刪除所有備份與快照,讓你一定得付錢;除非該駭客未來某天打算金盆洗手、釋出破解軟體,不然被加密起來的東西是很難靠爆破方式解開的,都要靠駭客提供的專門工具與密鑰才有機會解開。有時甚至會遇到更誇張的狀況──

  1. 照指示付了錢但沒給密鑰
  2. 一樣照指示付錢但沒給密鑰,才發現加害軟體是另一個駭客只改錢包網址就放出來害人的
  3. 用密鑰解開了加密,才發現又被其他軟體加密了一次
  4. 不知道該怎麼跟駭客溝通、或是沒有比特幣錢包可以付贖金

以上狀況都會讓人心急如焚,但我們也有協助客戶處理勒索病毒的經驗,依照作法可以簡單分為──

  1. 付贖金
  2. 不付贖金

  付贖金的話就是由我們代客戶與駭客溝通,並監督駭客提供的解密金鑰與軟體是否能正確解鎖,視情況殺價並避免激怒駭客,當然會先評估過是否別無他法,才會走支付贖金這個路線;不支付贖金的話就會改掃描客戶被加密的裝置,看是否可以找到加密前檔案的碎片與殘跡 (加密軟體加密某個檔案通常是寫一個新檔案、再把舊原檔刪除),或針對該加密手法可能會有的特別弱點下手 (例如解密密鑰遺留在本機特定的奇怪位置),但這種情況真的很少,因為對方通常有備而來,看到檔案被加密只是駭客的最後一步,如果還留有那樣可以不付錢處理的弱點,那絕對會變成他們圈子的笑柄。

  我們不鼓勵勒索行為,但若真的發生了,多點專業人士幫忙盯,也可以降低過程出錯、或被白敲竹槓的風險,電影中演到要付贖金時,旁邊也是一堆警察在幫忙盯哨,我們OSSLab則是研究資安起家的,也能應付這樣的狀況。

 


5.不可退的材料費與處理費?

  主要是針對 4-2 那樣的硬碟零件替換的材料費,或是 4-6 跟駭客聯絡與協調的處理費,因為一開始就得投入材料或人事處理費用,所以就會先與客戶收取;那不是每次投入資源救援都會有理想結果,在這情況下不接受救援結果雖然可以拿回原裝置並不必支付後續款項,但已消耗的材料費/處理費是無法退還的,還請客戶見諒,且一開始報價的時候就會一併說明,所以客戶也能將此一起列入是否決定救援的考量。

 

6.設備與技術路線

  以我們公司而言,成本多會落在工程師的技術養成,以及採購PC-3000設備與其他正版資料救援軟硬體,因為這樣才能應付上述 4-14-6 那些狀況、甚至是沒有寫到的其他部分;當然若要拍公司形象照的話不太好拍就是了,因為工程師不會穿得像是半導體廠商的工作人員、也不是整間都防塵室,但若只有 4-2 那樣開盤才需要完全無塵,好好準備個高級的無塵台就足以應付了,整間都防塵不是很有必要,維持大空間無塵更耗能、且成本最終還是會轉嫁至客戶身上,例如Seagate資料救援部門也是只有無塵台、沒有到無塵間,沒有一家業者敢說他們是不專業的小作坊。

  另外我們也對自家設計的客戶聯絡系統有自信──

高成功資料救援(一) 客戶聯絡系統

因為對客戶連絡有需求、工程師協作也需要互相紀錄,而現有的任何紀錄系統都不能完全配合,於是我們乾脆從頭自己打造只屬於OSSLab的RMA系統,先不論其他廠商是如何作的,但我們處理客戶案子時,所有處理狀況都是會被忠實紀錄的,且讓工程師們能準時準確地提供報價與後續各種服務。

 

7.需到府處理的狀況

有些客戶因為機器太大台、架構複雜、設備含敏感資料不能帶出來,我們也能派工程師到府資料救援,詳見這篇── 

上門到府陣列 勒索病毒資料救援 – 流程與設備介紹

接續第六點,我們會不定期更新添購各種救援設備,包含用來跑現場處理的救援設備(例如PC-3000 Portable III),若您有這樣需求 但設備帶不出來,歡迎提出詢問。

 


以上為我們OSSLab針對資料救援估價的思路介紹,若您有任何資料救援需求,歡迎透過Line@詢問我們,雖然還是要看到裝置實體才能提供精確報價,但客服人員與工程師仍能提供各種建議──

以下為我們解決過的各種案例跟研究:

企業級儲存救援:https://www.osslab.com.tw/blog-enterprise/
各式資料救援:https://www.osslab.com.tw/blog-data-recovery/
加解密救援:https://www.osslab.com.tw/blog-crypto/
各式3C技術研究:https://www.osslab.com.tw/blog-3c-tech/
各種硬體駭客研究:https://www.osslab.com.tw/blog-hardware-hack/

 

歡迎透過line、email、電話聯繫,亦可直接寄送硬碟過來檢測,我們OSSLab──

  1. 檢測不收費
  2. 救出資料才收費
  3. 救出”對的”指定資料才收費

營業時間:週一至週六 10:00 ~ 19:00
地址:104 台北市中山區長春路1511樓之2
電話:(02) 2521-8003
行動:0978-501-250
信箱:support@osslab.com.tw
Line:@osslab

 

Thx Chang

Author Thx Chang

More posts by Thx Chang

Leave a Reply