Dit was 2019. Ons laboratorium het 'n QUANTUM FIREBALL Plus KA-aandrywer met 'n kapasiteit van 9.1GB ontvang, wat nie heeltemal algemeen vir ons tyd is nie. Volgens die eienaar van die skyf het die fout in 2004 plaasgevind as gevolg van 'n mislukte kragtoevoer, wat die hardeskyf en ander rekenaarkomponente saamgeneem het. Daarna was daar besoeke aan verskeie dienste met pogings om die aandrywer te herstel en data te herstel, wat onsuksesvol was. In sommige gevalle het hulle belowe dit sal goedkoop wees, maar hulle het nooit die probleem opgelos nie, in ander was dit te duur en die kliënt wou nie die data herstel nie, maar op die ou end het die skyf deur baie dienssentrums gegaan. Dit het verskeie kere verlore gegaan, maar danksy die feit dat die eienaar vooraf gesorg het om inligting van verskeie plakkers op die skyf aan te teken, het hy daarin geslaag om te verseker dat sy hardeskyf van sommige dienssentrums terugbesorg word. Die staptogte het nie spoorloos verbygegaan nie, veelvuldige spore van soldering het op die oorspronklike beheerbord gebly, en die gebrek aan SMD-elemente is ook visueel gevoel (as ek vorentoe kyk, sal ek sê dat dit die minste van die probleme van hierdie aandrywing is).
Rys. 1 HDD Quantum Fireball Plus KA 9,1GB
Die eerste ding wat ons moes doen, was om in die skenker-argief te soek na so 'n antieke tweelingbroer van hierdie aandrywer met 'n werkende beheerbord. Toe hierdie soeke voltooi is, het dit moontlik geword om uitgebreide diagnostiese maatreëls uit te voer. Nadat ons die motorwikkelings vir 'n kortsluiting nagegaan het en seker gemaak het dat daar geen kortsluiting is nie, installeer ons die bord vanaf die skenkeraandrywing na die pasiëntaandrywing. Ons pas krag toe en hoor die normale klank van die as wat opdraai, 'n kalibrasietoets slaag met die laai van die firmware, en na 'n paar sekondes rapporteer die aandrywing deur registers dat dit gereed is om op bevele vanaf die koppelvlak te reageer.
Rys. 2 DRD DSC-aanwysers dui op gereedheid om opdragte te ontvang.
Ons rugsteun alle kopieë van firmwaremodules. Ons kontroleer die integriteit van die firmwaremodules. Daar is geen probleme met die lees van modules nie, maar ontleding van die verslae toon dat daar 'n paar eienaardighede is.
Rys. 3. Sonetabel.
Ons gee aandag aan die sonale verspreidingstabel en let op dat die aantal silinders 13845 is.
Rys. 4 P-lys (primêre lys – lys van defekte wat tydens die produksiesiklus bekendgestel is).
Ons vestig die aandag op die te klein aantal defekte en hul ligging. Ons kyk na die fabrieksdefek versteek log module (60h) en vind dat dit leeg is en nie 'n enkele inskrywing bevat nie. Op grond hiervan kan ons aanneem dat in een van die vorige dienssentrums, sommige manipulasies moontlik met die diensarea van die aandrywer gedoen is, en per ongeluk of opsetlik 'n vreemde module geskryf is, of die lys van defekte in die oorspronklike een is skoongemaak. Om hierdie aanname te toets, skep ons 'n taak in Data Extractor met die "skep sektor-vir-sektor kopie" en "skep virtuele vertaler" opsies geaktiveer.
Rys. 5 Taak parameters.
Nadat ons die taak geskep het, kyk ons na die inskrywings in die partisietabel in sektor nul (LBA 0)
Rys. 6 Meester selflaai rekord en partisie tabel.
By offset 0x1BE is daar 'n enkele inskrywing (16 grepe). Die lêerstelseltipe op die partisie is NTFS, verreken na die begin van 0x3F (63) sektore, partisiegrootte 0x011309A3 (18) sektore.
Maak LBA 63 oop in die sektorredigeerder.
Rys. 7 NTFS selflaai sektor
Volgens die inligting in die opstartsektor van die NTFS-partisie, kan ons die volgende sê: die sektorgrootte wat in die volume aanvaar word, is 512 grepe (woord 0x0 (0) word geskryf teen offset 0200x512B), die aantal sektore in die groep is 8 (grepe 0x0 word geskryf teen offset 0x08D), die groepgrootte is 512x8=4096 grepe, die eerste MFT-rekord is geleë teen 'n offset van 6 sektore vanaf die begin van die skyf (teen 'n offset van 291x519 viervoudige woord 0x30 0 00 00 00C 00 00 (0) nommer van die eerste MFT-kluster.Die sektornommer word bereken deur die formule: Trosgetal * aantal sektore in die groep + verreken na die begin van die afdeling 00* 00+786= 432).
Kom ons gaan aan na sektor 6 291 519.
Fig. 8
Maar die data wat in hierdie sektor vervat is, verskil heeltemal van die MFT-rekord. Alhoewel dit dui op 'n moontlike verkeerde vertaling as gevolg van 'n verkeerde defektelys, bewys dit nie hierdie feit nie. Om verder na te gaan, sal ons die skyf lees deur 10 000 sektore in beide rigtings relatief tot 6 291 519 sektore. En dan sal ons na gereelde uitdrukkings soek in wat ons lees.
Rys. 9 Eerste MFT-opname
In sektor 6 291 551 vind ons die eerste MFT-rekord. Sy posisie verskil van die berekende een by 32 sektore, en dan volg 'n groep van 16 rekords (van 0 tot 15) deurlopend. Kom ons voer die posisie van sektor 6 in die skuiftabel in en beweeg vorentoe met 291 sektore.
Fig. 10
Die posisie van rekord nr. 16 moet op offset 12 wees, maar ons vind nulle daar in plaas van die MFT-rekord. Kom ons doen 'n soortgelyke soektog in die omliggende area.
Rys. 11 MFT-inskrywing 0x00000011 (17)
'n Groot fragment van MFT word opgespoor, wat begin met rekordnommer 17 met 'n lengte van 53 646 rekords) met 'n verskuiwing van 17 sektore. Vir posisie 12, plaas 'n verskuiwing van +155 sektore in die verskuiwingstabel.
Nadat ons die posisie van MFT-fragmente in die ruimte bepaal het, kan ons aflei dat dit nie lyk soos 'n ewekansige mislukking en opname van MFT-fragmente teen verkeerde afwykings nie. 'n Weergawe met 'n verkeerde vertaler kan as bevestig beskou word.
Om die skuifpunte verder te lokaliseer, sal ons die maksimum moontlike verplasing stel. Om dit te doen, bepaal ons hoeveel die eindmerker van die NTFS-partisie (kopie van die opstartsektor) verskuif word. In Figuur 7, teen offset 0x28, is die vierwoord die partisiegrootte waarde van 0x00 00 00 00 01 13 09 A2 (18 024 866) sektore. Kom ons voeg die offset van die partisie self vanaf die begin van die skyf by sy lengte, en ons kry die offset van die einde NTFS merker 18 024 866 + 63= 18 024 929. Soos verwag, was die vereiste kopie van die selflaaisektor nie daar nie. Wanneer die omliggende area gesoek is, is dit gevind met 'n toenemende verskuiwing van +12 sektore relatief tot die laaste MFT-fragment.
Rys. 12 Kopie van NTFS selflaai sektor
Ons ignoreer die ander kopie van die selflaaisektor teen offset 18, aangesien dit nie verband hou met ons partisie nie. Op grond van vorige aktiwiteite is vasgestel dat daar binne die afdeling insluitings is van 041 sektore wat in die uitsending "opgespring" het, wat die data uitgebrei het.
Ons voer 'n volledige lees van die skyf uit, wat 34 ongeleesde sektore laat. Ongelukkig is dit onmoontlik om betroubaar te waarborg dat almal defekte is wat van die P-lys verwyder is, maar in verdere ontleding is dit raadsaam om hul posisie in ag te neem, aangesien dit in sommige gevalle moontlik sal wees om die skuifpunte betroubaar te bepaal met 'n akkuraatheid van die sektor, en nie die lêer nie.
Rys. 13 Disk lees statistieke.
Ons volgende taak sal wees om die benaderde liggings van die skofte vas te stel (tot die akkuraatheid van die lêer waarin dit plaasgevind het). Om dit te doen, sal ons alle MFT-rekords skandeer en kettings van lêerliggings (lêerfragmente) bou.
Rys. 14 Kettings van ligging van lêers of hul fragmente.
Vervolgens, deur van lêer na lêer te beweeg, kyk ons na die oomblik waarop daar ander data sal wees in plaas van die verwagte lêeropskrif, en die gewenste kopskrif sal gevind word met 'n sekere positiewe verskuiwing. En terwyl ons die skofpunte verfyn, vul ons die tabel in. Die resultaat van die invul daarvan sal meer as 99% van die lêers sonder skade wees.
Rys. 15 Lys van gebruikerslêers (toestemming is van die kliënt ontvang om hierdie skermkiekie te publiseer)
Om puntverskuiwings in individuele lêers vas te stel, kan jy bykomende werk verrig en, as jy die struktuur van die lêer ken, insluitings vind van data wat nie daarmee verband hou nie. Maar in hierdie taak was dit nie ekonomies haalbaar nie.
NS Ek wil ook graag my kollegas aanspreek, in wie se hande hierdie skyf voorheen was. Wees asseblief versigtig wanneer u met toestelfirmware werk en diensdata rugsteun voordat u enigiets verander, en moenie die probleem doelbewus vererger as u nie met die kliënt oor die werk kon saamstem nie.
Bron: will.com