2019 idi. Laboratoriyamız 9.1 GB tutumlu QUANTUM FIREBALL Plus KA diskini aldı ki, bu da dövrümüz üçün çox da yaygın deyil. Sürücünün sahibinin dediyinə görə, nasazlıq hələ 2004-cü ildə sərt diski və kompüterin digər komponentlərini götürən uğursuz enerji təchizatı səbəbindən baş verib. Daha sonra uğursuz olan sürücünü təmir etmək və məlumatları bərpa etmək cəhdləri ilə müxtəlif xidmətlərə baş çəkdi. Bəzi hallarda ucuz olacağına söz verdilər, amma heç vaxt problemi həll etmədilər, digərlərində bu, çox baha idi və müştəri məlumatları bərpa etmək istəmədi, amma sonda disk bir çox xidmət mərkəzlərindən keçdi. O, bir neçə dəfə itirildi, lakin sahibinin diskdəki müxtəlif stikerlərdən məlumatların yazılmasının qayğısına qalması sayəsində o, sərt diskinin bəzi xidmət mərkəzlərindən geri qaytarılmasını təmin edə bildi. Gəzintilər izsiz keçmədi, orijinal nəzarətçi lövhəsində çoxlu lehimləmə izləri qaldı və SMD elementlərinin olmaması da vizual olaraq hiss olundu (irəliyə baxaraq deyəcəyəm ki, bu sürücünün problemlərindən ən azıdır).
düyü. 1 HDD Quantum Fireball Plus KA 9,1GB
Etməli olduğumuz ilk şey donor arxivində işləyən nəzarətçi lövhəsi olan bu sürücünün belə qədim əkiz qardaşını axtarmaq idi. Bu axtarış başa çatdıqdan sonra geniş diaqnostik tədbirlər həyata keçirmək mümkün oldu. Mühərrik sarımlarında qısaqapanma olub olmadığını yoxladıqdan və qısaqapanma olmadığından əmin olduqdan sonra lövhəni donor sürücüsündən xəstə sürücüsünə quraşdırırıq. Güc tətbiq edirik və şaftın fırlanmasının normal səsini eşidirik, proqram təminatını yükləməklə kalibrləmə testindən keçirik və bir neçə saniyədən sonra sürücü interfeysdən əmrlərə cavab verməyə hazır olduğunu qeyd edir.
düyü. 2 DRD DSC göstəriciləri əmrləri qəbul etməyə hazır olduğunu göstərir.
Firmware modullarının bütün nüsxələrinin ehtiyat nüsxəsini çıxarırıq. Firmware modullarının bütövlüyünü yoxlayırıq. Modulların oxunması ilə bağlı heç bir problem yoxdur, lakin hesabatların təhlili bəzi qəribəliklərin olduğunu göstərir.
düyü. 3. Zona cədvəli.
Zona paylama cədvəlinə diqqət yetiririk və silindrlərin sayının 13845 olduğunu qeyd edirik.
düyü. 4 P-siyahı (əsas siyahı – istehsal dövrü ərzində aşkar edilmiş qüsurların siyahısı).
Biz çox az sayda qüsurlara və onların yerləşməsinə diqqət çəkirik. Zavod qüsurunu gizlədən log moduluna (60h) baxırıq və onun boş olduğunu və bir giriş olmadığını görürük. Buna əsaslanaraq, güman edə bilərik ki, əvvəlki xidmət mərkəzlərindən birində sürücünün xidmət sahəsi ilə bəzi manipulyasiyalar edilmiş ola bilər və təsadüfən və ya qəsdən xarici modul yazılmışdır və ya orijinalda qüsurların siyahısı biri təmizləndi. Bu fərziyyəni yoxlamaq üçün Data Extractor-da “sektor üzrə nüsxə yarat” və “virtual tərcüməçi yarat” seçimlərini aktivləşdirərək tapşırıq yaradırıq.
düyü. 5 Tapşırıq parametrləri.
Tapşırığı yaratdıqdan sonra bölmə cədvəlindəki girişlərə sıfır sektorda baxırıq (LBA 0)
düyü. 6 Əsas yükləmə qeydi və bölmə cədvəli.
0x1BE ofsetində tək giriş (16 bayt) var. Bölmədəki fayl sisteminin növü NTFS-dir, 0x3F (63) sektorun əvvəlinə ofset, bölmə ölçüsü 0x011309A3 (18) sektordur.
Sektor redaktorunda LBA 63 açın.
düyü. 7 NTFS yükləmə sektoru
NTFS bölməsinin yükləmə sektorundakı məlumata görə, aşağıdakıları deyə bilərik: həcmdə qəbul edilən sektor ölçüsü 512 baytdır (0x0 (0) sözü 0200x512B ofsetində yazılır), klasterdəki sektorların sayı 8 (bayt 0x0 0x08D ofsetində yazılır), klaster ölçüsü 512x8=4096 baytdır, ilk MFT qeydi diskin əvvəlindən 6 sektorun ofsetində yerləşir (291x519 dördlü söz ofsetində 0x30 0) 00 00C 00 00 (00) birinci MFT klasterinin nömrəsi Sektor nömrəsi düsturla hesablanır: Klaster nömrəsi * klasterdəki sektorların sayı + bölmənin əvvəlinə ofset 0* 00+00= 786).
6-cu sektora keçək.
Fig. 8
Lakin bu sektorda olan məlumatlar MFT qeydindən tamamilə fərqlidir. Bu, səhv bir qüsur siyahısına görə mümkün səhv tərcüməni göstərsə də, bu faktı sübut etmir. Əlavə yoxlamaq üçün diski 10 sektora nisbətən hər iki istiqamətdə 000 sektor oxuyacağıq. Sonra oxuduqlarımızda müntəzəm ifadələr axtaracağıq.
düyü. 9 İlk MFT qeydi
6 sektorunda biz ilk MFT rekordunu tapırıq. Onun mövqeyi hesablanmışdan 291 sektorla fərqlənir və sonra 551 qeyddən ibarət bir qrup (32-dan 16-ə qədər) davamlı olaraq izləyir. Növbə cədvəlinə 0-cu sektorun mövqeyini daxil edək və 15 sektor irəliləyək.
Fig. 10
16 nömrəli qeydin mövqeyi 12 ofsetdə olmalıdır, lakin biz orada MFT qeydinin əvəzinə sıfırları tapırıq. Gəlin ətrafda da oxşar axtarış aparaq.
düyü. 11 MFT girişi 0x00000011 (17)
MFT-nin böyük bir fraqmenti, 17 sektorun dəyişməsi ilə uzunluğu 53 qeyd olan 646 rekord nömrəsindən başlayaraq aşkar edilmişdir. 17 mövqeyi üçün növbə cədvəlində +12 sektorun dəyişməsini qoyun.
MFT fraqmentlərinin kosmosdakı mövqeyini təyin etdikdən sonra belə bir nəticəyə gələ bilərik ki, bu, təsadüfi bir uğursuzluq və MFT fraqmentlərinin yanlış ofsetlərdə qeyd edilməsi kimi görünmür. Tərcüməçi səhv olan versiya təsdiqlənmiş hesab edilə bilər.
Dəyişmə nöqtələrini daha da lokallaşdırmaq üçün maksimum mümkün yerdəyişməni təyin edəcəyik. Bunu etmək üçün NTFS bölməsinin son markerinin (yükləmə sektorunun surəti) nə qədər yerdəyişdiyini müəyyənləşdiririk. Şəkil 7-də 0x28 ofsetində kvadword 0x00 00 00 00 01 13 09 A2 (18) sektorun bölmə ölçüsünün dəyəridir. Diskin əvvəlindən onun uzunluğuna bölmənin özünün ofsetini əlavə edək və son NTFS markerinin ofsetini alırıq 024 + 866= 18.Gözlənildiyi kimi, yükləmə sektorunun lazımi surəti yox idi. Ətraf ərazini axtararkən, son MFT fraqmentinə nisbətən +024 sektorun artan yerdəyişməsi ilə tapıldı.
düyü. 12 NTFS yükləmə sektorunun surəti
Yükləmə sektorunun digər nüsxəsini 18 ofsetdə nəzərə almırıq, çünki o, bölməmizlə əlaqəli deyil. Əvvəlki fəaliyyətlərə əsaslanaraq müəyyən edilmişdir ki, bölmə daxilində yayımda “çıxmış” 041 sektorun daxilolmaları mövcuddur ki, bu da məlumatları genişləndirir.
34 oxunmamış sektor buraxan sürücünün tam oxunmasını həyata keçiririk. Təəssüf ki, onların hamısının P-siyahısından çıxarılan qüsurlar olduğuna etibarlı şəkildə zəmanət vermək mümkün deyil, lakin sonrakı təhlildə onların mövqeyini nəzərə almaq məsləhətdir, çünki bəzi hallarda keçid nöqtələrini etibarlı şəkildə müəyyən etmək mümkün olacaqdır. faylın deyil, sektorun dəqiqliyi.
düyü. 13 Disk oxuma statistikası.
Növbəti vəzifəmiz sürüşmələrin təxmini yerlərini (onların baş verdiyi faylın dəqiqliyinə) təyin etmək olacaq. Bunun üçün biz bütün MFT qeydlərini skan edəcəyik və fayl yerlərinin (fayl fraqmentləri) zəncirlərini quracağıq.
düyü. 14 Faylların və ya onların fraqmentlərinin yerləşmə zəncirləri.
Sonra, fayldan fayla keçərək, gözlənilən fayl başlığının əvəzinə başqa məlumatların olacağı anı axtarırıq və istədiyiniz başlıq müəyyən müsbət sürüşmə ilə tapılacaqdır. Və keçid nöqtələrini dəqiqləşdirdikcə, cədvəli doldururuq. Onun doldurulmasının nəticəsi faylların 99%-dən çoxu zədələnmədən olacaqdır.
düyü. 15 İstifadəçi fayllarının siyahısı (bu ekran görüntüsünü dərc etmək üçün müştəridən razılıq alınıb)
Fərdi fayllarda nöqtə sürüşmələrini qurmaq üçün əlavə işlər görə bilərsiniz və faylın strukturunu bilirsinizsə, onunla əlaqəli olmayan məlumatların daxilolmalarını tapa bilərsiniz. Amma bu işdə iqtisadi cəhətdən mümkün deyildi.
P.S. Bu disk əvvəllər əllərində olan həmkarlarıma da müraciət etmək istərdim. Lütfən, cihazın proqram təminatı ilə işləyərkən diqqətli olun və hər hansı bir şeyi dəyişdirməzdən əvvəl xidmət məlumatlarının ehtiyat nüsxəsini çıxarın və müştəri ilə işdə razılaşa bilmirsinizsə, problemi qəsdən ağırlaşdırmayın.
Mənbə: www.habr.com