加密移动硬盘（USB接口）开盘数据恢复实战

xlysoft

【文章来源：效率源科技（微信号）】微信号：xiaolvyuantec

编者按：“技术实战-硬盘开盘”系列第6期，效率源工程师讲解第4个技术实战案例——西数1TB 移动硬盘的开盘数据恢复。因本案例涉及的硬盘内部0号盘片被严重划伤，又是USB接口，且同时使用了双重加密（硬盘固件加密+USB固件加密），相比前3个硬盘，具有独特的典型性。最大的难点（不同点）在于，常规硬盘更换磁头后可直接镜像、读取数据。而USB接口的双重加密硬盘，需要经历2次电路板更换，同时绕过缺陷硬盘访问，模拟解密软件需要的数据启动WDunlocker，将秘钥输入后获取数据解密的key，实现解密。否则，即使成功镜像，也看不到原始数据，数据恢复直接失败。

        移动硬盘，一般采用USB接口，具有容量大、体积小、速度高、使用方便等特点。为了提高数据安全性，不少品牌的移动硬盘厂商都为旗下高端产品配备功能卓越的加密方法。比如西部数据（WD）就为自家的系列（如图1）配备了硬盘固件加密和USB固件加密（利用WDunlocker软件加密）。双重加密的确加强了数据安全保护，但在硬盘出现故障时，硬盘数据恢复也遇到了极大了解密难题。

【图1：WD硬盘 My Passport Ultra系列】

一、实战对象： WD硬盘1TB移动硬盘WD My Passport Ultra系列，USB接口，外观完好，没有明显的摔伤痕迹。硬盘双重加密（硬盘固件加密+USB固件加密）。

二、硬盘准备（3块实体盘）

1、恢复盘A：有故障、存储有需要提取的数据的USB移动硬盘

2、镜像盘B：镜像拷贝数据，后期分析

3、配件盘C： 更换磁头、更换电路板（与A固件版本相同的普通硬盘）

三、故障现象：使用中，硬盘突然不识别，通电有异响

四、故障检测

       因本案例是USB接口且双重加密，需要使用到特殊方法进行解密，效率源抽调了移动硬盘解密研究员组成专家组，全面展开数据恢复。

       望：360度查看恢复盘A，外观上没有摔伤痕迹，包括最易变形的硬盘四周和边角。

       问：据描述，本硬盘数据为高度机密。同时，硬盘除硬件加密，还通过WD自带的程序WDunlocker进行USB固件加密。

        综合评判，通过特殊手段还有希望恢复，但只有三成。具体的观察、检测、开盘等方法，在前4期均有详细讲解，此处不赘述。

五、数据恢复

1、开盘，换磁头。继续在双百级无尘工作室，将配件盘C的磁头更换到恢复盘A上。具体方法在第1期中有介绍，不赘述。

2、电路板更换（ATA接口）。 将配件盘C电路板（ATA接口）与恢复盘A的电路板更换。因为USB接口无法处理复杂的缺陷情况，所以需要更换转接口。

【图4：DRS数据恢复系统可以使用“分头读取” (此图只为展示“分头”效果，非本案例硬盘的对应图片，图中H1-H8均可选择)】

4、特殊处理，解密

       因为恢复盘A被双重加密，数据虽然镜像到了镜像盘B，但看不到原始数据，需要解密才实现正常识别硬盘，这也是案例的难点之一。

       如果，恢复盘A只是硬盘固件加密，可直接利用DRS相关操作解密。但如果像本盘是“双重加密”，难度就直线升级，必须首先解决一个关键问题——要让恢复盘A弹出WDunlocker软件加密的解密对话框。而恢复盘A是一个有盘片划伤的故障盘，如果再次使用电脑启动，硬盘可能造成二次损坏，也可能出现不能读取的情况。

编后语：据效率源工程师介绍，本案例的最大难点有2处：（1）USB接口硬盘的复杂缺陷情况处理（分头读取）；（2）在不通过PC启动硬盘情况下弹出解密对话框。这2点，工程师都是利用自主研发的特殊手段进行处理，得以解决。同时，鉴于情况比较普遍，分头技术已经集成到最新的DRS数据恢复系统等产品中，通过点击操作就能完成。但类似于换板解密的操作，则需手动进行，对操作者的综合素材要求特别高，一定要有非常精湛的实操经验后才能着手，否则可能直接导致数据恢复失败。