كان عام 2019. حصل مختبرنا على محرك أقراص QUANTUM FIREBALL Plus KA بسعة 9.1 جيجابايت، وهو أمر غير شائع في عصرنا. وفقًا لمالك محرك الأقراص، فقد حدث العطل في عام 2004 بسبب فشل مصدر الطاقة، والذي أخذ معه القرص الصلب ومكونات الكمبيوتر الأخرى. ثم كانت هناك زيارات لمختلف الخدمات مع محاولات لإصلاح محرك الأقراص واستعادة البيانات، والتي لم تنجح. في بعض الحالات، وعدوا بأنه سيكون رخيصًا، لكنهم لم يحلوا المشكلة أبدًا، وفي حالات أخرى كان الأمر مكلفًا للغاية ولم يرغب العميل في استعادة البيانات، ولكن في النهاية مر القرص عبر العديد من مراكز الخدمة. لقد ضاع عدة مرات، ولكن بفضل حقيقة أن المالك اعتنى بتسجيل المعلومات من الملصقات المختلفة على محرك الأقراص مسبقًا، فقد تمكن من التأكد من إرجاع محرك الأقراص الثابتة الخاص به من بعض مراكز الخدمة. لم تمر المسيرات دون أثر، وبقيت آثار متعددة للحام على لوحة التحكم الأصلية، وكان هناك أيضًا نقص في عناصر SMD محسوس بصريًا (بالنظر إلى المستقبل، سأقول أن هذا هو أقل مشاكل محرك الأقراص هذا).
أرز. 1 قرص صلب Quantum Fireball Plus KA سعة 9,1 جيجابايت
أول شيء كان علينا فعله هو البحث في أرشيف الجهات المانحة عن مثل هذا الأخ التوأم القديم لمحرك الأقراص هذا المزود بلوحة تحكم عاملة. عندما تم الانتهاء من هذا المسعى، أصبح من الممكن تنفيذ تدابير تشخيصية واسعة النطاق. بعد فحص ملفات المحرك بحثًا عن ماس كهربائى والتأكد من عدم وجود ماس كهربائى، نقوم بتثبيت اللوحة من محرك المتبرع إلى محرك المريض. نقوم بتطبيق الطاقة ونسمع الصوت العادي للعمود الذي يدور لأعلى، ونجتاز اختبار المعايرة مع تحميل البرنامج الثابت، وبعد بضع ثوانٍ، يُبلغ محرك الأقراص عن طريق السجلات أنه جاهز للاستجابة للأوامر من الواجهة.
أرز. 2 مؤشرات DRD DSC تشير إلى الاستعداد لتلقي الأوامر.
نقوم بعمل نسخة احتياطية لجميع نسخ وحدات البرامج الثابتة. نتحقق من سلامة وحدات البرامج الثابتة. لا توجد مشاكل مع وحدات القراءة، ولكن تحليل التقارير يظهر أن هناك بعض الشذوذ.
أرز. 3. جدول المنطقة.
ننتبه إلى جدول التوزيع المناطقي ونلاحظ أن عدد الأسطوانات هو 13845.
أرز. 4-P-list (القائمة الأولية – قائمة العيوب التي تظهر خلال دورة الإنتاج).
نلفت الانتباه إلى العدد الصغير جدًا من العيوب وموقعها. ننظر إلى وحدة سجل إخفاء عيوب المصنع (60 ساعة) ونجد أنها فارغة ولا تحتوي على إدخال واحد. وبناء على ذلك، يمكننا أن نفترض أنه في أحد مراكز الخدمة السابقة، ربما تم إجراء بعض التلاعب بمنطقة الخدمة الخاصة بمحرك الأقراص، وتمت كتابة وحدة أجنبية عن طريق الخطأ أو عن قصد، أو قائمة العيوب في الأصل تم مسح واحد. لاختبار هذا الافتراض، نقوم بإنشاء مهمة في Data Extractor مع تمكين خيارات "إنشاء نسخة قطاعية" و"إنشاء مترجم افتراضي".
أرز. 5 معلمات المهمة.
بعد إنشاء المهمة، ننظر إلى الإدخالات الموجودة في جدول الأقسام في القطاع صفر (LBA 0)
أرز. 6 سجل التمهيد الرئيسي وجدول الأقسام.
عند الإزاحة 0x1BE يوجد إدخال واحد (16 بايت). نوع نظام الملفات الموجود على القسم هو NTFS، مع إزاحته لبداية القطاعات 0x3F (63)، حجم القسم 0x011309A3 (18) قطاعًا.
في محرر القطاع، افتح LBA 63.
أرز. 7 قطاع التمهيد NTFS
وفقًا للمعلومات الموجودة في قطاع التمهيد لقسم NTFS، يمكننا قول ما يلي: حجم القطاع المقبول في وحدة التخزين هو 512 بايت (يتم كتابة الكلمة 0x0 (0) بإزاحة 0200x512B)، وعدد القطاعات في المجموعة هو 8 (يتم كتابة البايت 0x0 عند الإزاحة 0x08D)، وحجم الكتلة هو 512x8 = 4096 بايت، ويقع أول سجل MFT عند إزاحة 6 قطاعًا من بداية القرص (عند إزاحة 291x519 كلمة رباعية 0x30 0 00 00) 00 00C 00 0 (00) رقم مجموعة MFT الأولى. يتم حساب رقم القطاع بالمعادلة: رقم المجموعة * عدد القطاعات في المجموعة + الإزاحة إلى بداية القسم 00* 786+432= 786).
دعنا ننتقل إلى القطاع 6.
التين. 8
لكن البيانات الواردة في هذا القطاع تختلف تماما عن سجل MFT. على الرغم من أن هذا يشير إلى ترجمة غير صحيحة محتملة بسبب قائمة عيوب غير صحيحة، إلا أنه لا يثبت هذه الحقيقة. لمزيد من التحقق، سوف نقرأ القرص بمقدار 10 قطاع في كلا الاتجاهين مقارنة بـ 000 قطاعًا. ومن ثم سنبحث عن التعبيرات النمطية فيما نقرأه.
أرز. 9 أول تسجيل MFT
في القطاع 6 نجد أول سجل MFT. يختلف موضعه عن الموضع المحسوب بمقدار 291 قطاعًا، ثم تتبعه بشكل مستمر مجموعة من 551 سجلًا (من 32 إلى 16). دعونا ندخل موضع القطاع 0 في جدول التحول ونتقدم بمقدار 15 قطاعًا.
التين. 10
يجب أن يكون موضع السجل رقم 16 عند الإزاحة 12 ولكننا نجد أصفارًا هناك بدلاً من سجل MFT. دعونا نجري بحثًا مماثلاً في المنطقة المحيطة.
أرز. 11 إدخال MFT 0x00000011 (17)
تم اكتشاف جزء كبير من MFT، بدءًا من السجل رقم 17 بطول 53 سجلًا) مع إزاحة 646 قطاعًا. بالنسبة للموضع 17، ضع إزاحة +12 قطاعًا في جدول الإزاحة.
بعد تحديد موضع أجزاء MFT في الفضاء، يمكننا أن نستنتج أن هذا لا يبدو وكأنه فشل عشوائي وتسجيل أجزاء MFT بإزاحات غير صحيحة. يمكن اعتبار الإصدار الذي يحتوي على مترجم غير صحيح مؤكدًا.
لمزيد من توطين نقاط التحول، سوف نقوم بتعيين الحد الأقصى للإزاحة الممكنة. للقيام بذلك، نحدد مقدار إزاحة علامة النهاية لقسم NTFS (نسخة من قطاع التمهيد). في الشكل 7، عند الإزاحة 0x28، تكون الكلمة الرباعية هي قيمة حجم القسم للقطاعات 0x00 00 00 00 01 13 09 A2 (18). دعونا نضيف إزاحة القسم نفسه من بداية القرص إلى طوله، ونحصل على إزاحة نهاية علامة NTFS 024 + 866= 18، كما هو متوقع، لم تكن النسخة المطلوبة من قطاع التمهيد موجودة. عند البحث في المنطقة المحيطة، تم العثور على إزاحة متزايدة لـ +024 قطاعًا مقارنة بجزء MFT الأخير.
أرز. 12 نسخة من قطاع التمهيد NTFS
نتجاهل النسخة الأخرى من قطاع التمهيد عند الإزاحة 18، لأنها لا تتعلق بقسمنا. بناءً على الأنشطة السابقة، ثبت أنه يوجد ضمن القسم تضمينات لـ 041 قطاعًا "ظهرت" في البث، مما أدى إلى توسيع البيانات.
نقوم بإجراء قراءة كاملة لمحرك الأقراص، مما يترك 34 قطاعًا غير مقروء. لسوء الحظ، من المستحيل ضمان إزالة جميع العيوب من قائمة P بشكل موثوق، ولكن من المستحسن أن تأخذ في الاعتبار موقفها في مزيد من التحليل، لأنه في بعض الحالات سيكون من الممكن تحديد نقاط التحول بشكل موثوق مع دقة القطاع، وليس الملف.
أرز. 13 إحصائيات قراءة القرص.
ستكون مهمتنا التالية هي تحديد المواقع التقريبية للتحولات (بدقة الملف الذي حدثت فيه). للقيام بذلك، سنقوم بمسح جميع سجلات MFT وإنشاء سلاسل لمواقع الملفات (أجزاء الملف).
أرز. 14 سلاسل مواقع الملفات أو شظاياها.
بعد ذلك، الانتقال من ملف إلى ملف، نبحث عن اللحظة التي ستكون هناك بيانات أخرى بدلا من رأس الملف المتوقع، وسيتم العثور على الرأس المطلوب مع تحول إيجابي معين. وبينما نقوم بتحسين نقاط التحول، نملأ الجدول. ستكون نتيجة ملئه أكثر من 99٪ من الملفات دون ضرر.
أرز. 15 قائمة بملفات المستخدم (تم الحصول على موافقة العميل لنشر لقطة الشاشة هذه)
لإنشاء تحولات نقطية في ملفات فردية، يمكنك تنفيذ عمل إضافي، وإذا كنت تعرف بنية الملف، فابحث عن تضمينات البيانات التي لا تتعلق به. ولكن في هذه المهمة لم يكن من الممكن اقتصاديا.
PS وأود أيضا أن أخاطب زملائي، الذين كان هذا القرص في أيديهم في السابق. يرجى توخي الحذر عند العمل مع البرامج الثابتة للجهاز وعمل نسخة احتياطية من بيانات الخدمة قبل تغيير أي شيء، ولا تعمد إلى تفاقم المشكلة إذا لم تتمكن من الاتفاق مع العميل على العمل.
المصدر: www.habr.com