Psal se rok 2019. Naše laboratoř obdržela disk QUANTUM FIREBALL Plus KA s kapacitou 9.1GB, což v naší době není zcela běžné. Podle majitele disku k poruše došlo už v roce 2004 kvůli selhání zdroje, který s sebou vzal pevný disk a další komponenty PC. Pak to byly návštěvy různých služeb s pokusy o opravu disku a obnovu dat, které byly neúspěšné. V některých případech slibovali, že to bude levné, ale problém nikdy nevyřešili, v jiných to bylo příliš drahé a klient nechtěl data obnovit, ale disk nakonec prošel mnoha servisními centry. Několikrát se ztratil, ale díky tomu, že se majitel předem staral o záznam informací z různých nálepek na disk, podařilo se mu zajistit vrácení pevného disku z některých servisních středisek. Procházky se neobešly beze stopy, na původní desce řadiče zůstaly vícenásobné stopy po pájení a nedostatek SMD prvků byl také cítit vizuálně (při pohledu dopředu řeknu, že to je nejmenší problém tohoto disku).
Rýže. 1 HDD Quantum Fireball Plus KA 9,1 GB
První věc, kterou jsme museli udělat, bylo vyhledat v archivu dárců takové prastaré dvojče tohoto disku s funkční řídicí deskou. Když byl tento úkol dokončen, bylo možné provést rozsáhlá diagnostická opatření. Po kontrole vinutí motoru na zkrat a ujištění se, že nedochází ke zkratu, instalujeme desku z pohonu dárců na pohon pacienta. Připojíme napájení a slyšíme normální zvuk roztočení hřídele, absolvování kalibračního testu s nahráním firmwaru a po pár sekundách pohon hlásí registry, že je připraven reagovat na příkazy z rozhraní.
Rýže. 2 DRD DSC indikátory indikují připravenost přijímat příkazy.
Zálohujeme všechny kopie modulů firmwaru. Zkontrolujeme integritu modulů firmwaru. Se čtením modulů nejsou žádné problémy, ale analýza zpráv ukazuje, že existují určité zvláštnosti.
Rýže. 3. Tabulka zón.
Věnujeme pozornost tabulce zónového rozdělení a všimneme si, že počet válců je 13845.
Rýže. 4 P-list (primární seznam – seznam vad zavedených během výrobního cyklu).
Upozorňujeme na příliš malý počet závad a jejich lokalizaci. Podíváme se na modul protokolu skrývání defektů z výroby (60h) a zjistíme, že je prázdný a neobsahuje jediný záznam. Na základě toho můžeme předpokládat, že v některém z předchozích servisních středisek mohly být provedeny nějaké manipulace se servisní oblastí pohonu a náhodně nebo úmyslně byl sepsán cizí modul nebo seznam závad v originále jeden byl vyčištěn. Abychom tento předpoklad otestovali, vytvoříme úlohu v Data Extractor s povolenými možnostmi „vytvořit kopii sektor po sektoru“ a „vytvořit virtuálního překladatele“.
Rýže. 5 Parametry úlohy.
Po vytvoření úlohy se podíváme na položky v tabulce oddílů v sektoru nula (LBA 0)
Rýže. 6 Hlavní spouštěcí záznam a tabulka oddílů.
Na offsetu 0x1BE je jeden záznam (16 bajtů). Typ systému souborů na oddílu je NTFS, odsazený na začátek 0x3F (63) sektorů, velikost oddílu 0x011309A3 (18 024 867) sektorů.
V editoru sektorů otevřete LBA 63.
Rýže. 7 Spouštěcí sektor NTFS
Podle informací v boot sektoru oddílu NTFS můžeme říci následující: velikost sektoru akceptovaná ve svazku je 512 bajtů (slovo 0x0 (0) je zapsáno s offsetem 0200x512B), počet sektorů v clusteru je 8 (bajt 0x0 je zapsán v offsetu 0x08D), velikost clusteru je 512x8=4096 bajtů, první MFT záznam je umístěn v offsetu 6 291 519 sektorů od začátku disku (při offsetu 0x30 čtyřslovné 0x00 00 00 00 00C 0 00 (00) číslo prvního MFT clusteru Číslo sektoru se vypočítá podle vzorce: Číslo clusteru * počet sektorů v clusteru + offset na začátek sekce 786* 432+786= 432).
Pojďme k sektoru 6.
Obr. 8
Ale data obsažená v tomto sektoru jsou zcela odlišná od záznamu MFT. I když to ukazuje na možný nesprávný překlad z důvodu nesprávného seznamu vad, nedokazuje to tuto skutečnost. Pro další kontrolu přečteme disk o 10 000 sektorů v obou směrech vzhledem k 6 291 519 sektorům. A pak budeme hledat regulární výrazy v tom, co čteme.
Rýže. 9 První záznam MFT
V sektoru 6 291 551 najdeme první záznam MFT. Jeho pozice se od vypočítané liší o 32 sektorů a pak plynule následuje skupina 16 záznamů (od 0 do 15). Zadejme do tabulky posunu pozici sektoru 6 291 519 a posuňme se vpřed o 32 sektorů.
Obr. 10
Pozice záznamu č. 16 by měla být na offsetu 12 551 431, ale místo MFT záznamu tam najdeme nuly. Proveďme podobné hledání v okolí.
Rýže. 11 záznam MFT 0x00000011 (17)
Je detekován velký fragment MFT, počínaje záznamem číslo 17 o délce 53 646 záznamů) s posunem o 17 sektorů. Pro pozici 12 155 431 vložte do tabulky posunu posun o +17 sektorů.
Po určení polohy fragmentů MFT v prostoru můžeme dojít k závěru, že to nevypadá jako náhodné selhání a zaznamenání fragmentů MFT při nesprávných offsetech. Verzi s nesprávným překladačem lze považovat za potvrzenou.
Pro další lokalizaci bodů posunu nastavíme maximální možné posunutí. Za tímto účelem určíme, jak moc je posunuta koncová značka oddílu NTFS (kopie spouštěcího sektoru). Na obrázku 7, při offsetu 0x28, je quadword hodnotou velikosti oddílu 0x00 00 00 00 01 13 09 A2 (18 024 866) sektorů. Připočtěme offset samotného oddílu od začátku disku k jeho délce a dostaneme offset koncového NTFS markeru 18 024 866 + 63= 18 024 929. Jak se dalo očekávat, požadovaná kopie boot sektoru tam nebyla. Při prohledávání okolí byl nalezen s rostoucím posunem o +12 sektorů vzhledem k poslednímu fragmentu MFT.
Rýže. 12 Kopie spouštěcího sektoru NTFS
Ignorujeme druhou kopii zaváděcího sektoru na offsetu 18 041 006, protože nesouvisí s naším oddílem. Na základě předchozích aktivit bylo zjištěno, že v rámci sekce je zahrnuto 61 sektorů, které „naskočily“ do vysílání, což rozšířilo data.
Provedeme úplné načtení disku, po kterém zůstane 34 nepřečtených sektorů. Bohužel nelze spolehlivě zaručit, že se u všech jedná o vady odstraněné z P-listu, ale při další analýze je vhodné vzít v úvahu jejich polohu, protože v některých případech bude možné spolehlivě určit body posunu pomocí přesnost sektoru, nikoli souboru.
Rýže. 13 Statistika čtení disku.
Naším dalším úkolem bude určit přibližná místa posunů (s přesností souboru, ve kterém k nim došlo). Za tímto účelem prohledáme všechny záznamy MFT a vytvoříme řetězce umístění souborů (fragmenty souborů).
Rýže. 14 Řetězce umístění souborů nebo jejich fragmentů.
Dále, přesouváme se ze souboru do souboru, hledáme okamžik, kdy budou místo očekávané hlavičky souboru jiná data, a požadovaná hlavička bude nalezena s určitým pozitivním posunem. A jak zpřesňujeme body řazení, vyplňujeme tabulku. Výsledkem jeho vyplnění bude více než 99 % souborů bez poškození.
Rýže. 15 Seznam uživatelských souborů (od klienta byl přijat souhlas se zveřejněním tohoto snímku obrazovky)
Pro stanovení bodových posunů v jednotlivých souborech můžete provést další práci a pokud znáte strukturu souboru, najít zahrnutí dat, která s ním nesouvisejí. Ale v tomto úkolu to nebylo ekonomicky proveditelné.
PS Rád bych oslovil i své kolegy, v jejichž rukou byl tento disk dříve. Buďte opatrní při práci s firmwarem zařízení a zálohujte si servisní data, než cokoliv změníte, a záměrně problém nezhoršujte, pokud jste se nemohli s klientem na práci dohodnout.
Zdroj: www.habr.com