Es war 2019. Unser Labor erhielt ein QUANTUM FIREBALL Plus KA-Laufwerk mit einer Kapazität von 9.1 GB, was für unsere Zeit nicht ganz üblich ist. Nach Angaben des Besitzers des Laufwerks ist der Ausfall bereits im Jahr 2004 auf ein ausgefallenes Netzteil zurückzuführen, das die Festplatte und andere PC-Komponenten mitgerissen hat. Dann kam es zu Besuchen bei verschiedenen Diensten mit Versuchen, das Laufwerk zu reparieren und Daten wiederherzustellen, die jedoch erfolglos blieben. In einigen Fällen versprachen sie, dass es günstig sein würde, aber sie lösten das Problem nie, in anderen war es zu teuer und der Kunde wollte die Daten nicht wiederherstellen, aber am Ende durchlief die Festplatte viele Servicezentren. Es ging mehrmals verloren, aber dank der Tatsache, dass der Besitzer sich vorab darum kümmerte, die Informationen von verschiedenen Aufklebern auf dem Laufwerk zu notieren, gelang es ihm, sicherzustellen, dass seine Festplatte von einigen Servicezentren zurückgegeben wurde. Die Spaziergänge verliefen nicht spurlos, es blieben zahlreiche Lötspuren auf der Original-Controllerplatine zurück und auch optisch war das Fehlen von SMD-Elementen zu spüren (mit Blick auf die Zukunft würde ich sagen, dass dies das geringste Problem dieses Laufwerks ist).
Reis. 1 Festplatte Quantum Fireball Plus KA 9,1 GB
Als erstes mussten wir im Spenderarchiv nach einem so alten Zwillingsbruder dieses Laufwerks mit funktionierender Steuerplatine suchen. Nach Abschluss dieser Suche konnten umfangreiche Diagnosemaßnahmen durchgeführt werden. Nachdem wir die Motorwicklungen auf Kurzschluss überprüft und sichergestellt haben, dass kein Kurzschluss vorliegt, verbauen wir die Platine vom Spenderantrieb zum Patientenantrieb. Wir schalten Strom ein und hören das normale Geräusch der sich drehenden Welle, durchlaufen einen Kalibrierungstest mit dem Laden der Firmware und nach einigen Sekunden meldet das Laufwerk per Register, dass es bereit ist, auf Befehle von der Schnittstelle zu reagieren.
Reis. 2 DRD DSC-Anzeigen zeigen die Bereitschaft zum Empfang von Befehlen an.
Wir sichern alle Kopien der Firmware-Module. Wir prüfen die Integrität der Firmware-Module. Es gibt keine Probleme beim Lesen von Modulen, aber die Analyse der Berichte zeigt, dass es einige Kuriositäten gibt.
Reis. 3. Zonentabelle.
Wir achten auf die Zonenverteilungstabelle und stellen fest, dass die Anzahl der Zylinder 13845 beträgt.
Reis. 4 P-Liste (Primärliste – Liste der während des Produktionszyklus aufgetretenen Mängel).
Wir machen auf die zu geringe Anzahl von Mängeln und deren Lage aufmerksam. Wir schauen uns das Protokollmodul zum Ausblenden von Fabrikfehlern (60 Stunden) an und stellen fest, dass es leer ist und keinen einzigen Eintrag enthält. Auf dieser Grundlage können wir davon ausgehen, dass in einem der vorherigen Servicecenter möglicherweise einige Manipulationen am Servicebereich des Laufwerks vorgenommen wurden und versehentlich oder absichtlich ein Fremdmodul geschrieben wurde, oder die Mängelliste im Original einer wurde gelöscht. Um diese Annahme zu testen, erstellen wir im Data Extractor eine Aufgabe mit aktivierten Optionen „Sektor-für-Sektor-Kopie erstellen“ und „Virtuellen Übersetzer erstellen“.
Reis. 5 Aufgabenparameter.
Nachdem wir die Aufgabe erstellt haben, schauen wir uns die Einträge in der Partitionstabelle im Sektor Null (LBA 0) an.
Reis. 6 Master-Boot-Record und Partitionstabelle.
Am Offset 0x1BE gibt es einen einzelnen Eintrag (16 Bytes). Der Dateisystemtyp auf der Partition ist NTFS, versetzt zum Anfang von 0x3F (63) Sektoren, Partitionsgröße 0x011309A3 (18) Sektoren.
Öffnen Sie im Sektoreditor LBA 63.
Reis. 7 NTFS-Bootsektor
Gemäß den Informationen im Bootsektor der NTFS-Partition können wir Folgendes sagen: Die im Volume akzeptierte Sektorgröße beträgt 512 Bytes (Wort 0x0 (0) wird am Offset 0200x512B geschrieben), die Anzahl der Sektoren im Cluster beträgt 8 (Byte 0x0 wird bei Offset 0x08D geschrieben), die Clustergröße beträgt 512x8=4096 Bytes, der erste MFT-Datensatz befindet sich bei einem Offset von 6 Sektoren vom Anfang der Festplatte (bei einem Offset von 291x519, Vierfachwort 0x30 0 00 00). 00 00C 00 0 (00) Nummer des ersten MFT-Clusters. Die Sektornummer wird nach der Formel berechnet: Clusternummer * Anzahl der Sektoren im Cluster + Offset zum Anfang des Abschnitts 00* 786+432= 786).
Kommen wir zum Sektor 6.
Fig. 8
Die in diesem Sektor enthaltenen Daten unterscheiden sich jedoch völlig vom MFT-Datensatz. Dies deutet zwar auf eine mögliche fehlerhafte Übersetzung aufgrund einer fehlerhaften Mängelliste hin, beweist diese Tatsache jedoch nicht. Zur weiteren Überprüfung lesen wir die Festplatte um 10 Sektoren in beide Richtungen relativ zu 000 Sektoren. Und dann werden wir in dem, was wir lesen, nach regulären Ausdrücken suchen.
Reis. 9 Erste MFT-Aufnahme
Im Sektor 6 finden wir den ersten MFT-Datensatz. Seine Position weicht um 291 Sektoren von der berechneten ab, und dann folgt kontinuierlich eine Gruppe von 551 Datensätzen (von 32 bis 16). Tragen wir die Position des Sektors 0 in die Schichttabelle ein und gehen wir um 15 Sektoren vorwärts.
Fig. 10
Die Position des Datensatzes Nr. 16 sollte bei Offset 12 liegen, wir finden dort jedoch Nullen anstelle des MFT-Datensatzes. Lassen Sie uns eine ähnliche Suche in der Umgebung durchführen.
Reis. 11 MFT-Eintrag 0x00000011 (17)
Es wird ein großes MFT-Fragment erkannt, beginnend mit Datensatznummer 17 mit einer Länge von 53 Datensätzen und einer Verschiebung von 646 Sektoren. Tragen Sie für Position 17 eine Verschiebung von +12 Sektoren in die Schichttabelle ein.
Nachdem wir die Position der MFT-Fragmente im Raum bestimmt haben, können wir schlussfolgern, dass dies nicht wie ein zufälliger Fehler und die Aufzeichnung von MFT-Fragmenten an falschen Offsets aussieht. Eine Version mit einem falschen Übersetzer kann als bestätigt gelten.
Um die Verschiebungspunkte weiter zu lokalisieren, legen wir die maximal mögliche Verschiebung fest. Dazu ermitteln wir, um wie viel die Endmarkierung der NTFS-Partition (Kopie des Bootsektors) verschoben wird. In Abbildung 7 ist das Quadwort beim Offset 0x28 der Partitionsgrößenwert von 0x00 00 00 00 01 13 09 A2 (18) Sektoren. Fügen wir den Versatz der Partition selbst vom Anfang der Festplatte zu ihrer Länge hinzu, und wir erhalten den Versatz des NTFS-Endmarkers 024 + 866= 18. Wie erwartet war die erforderliche Kopie des Bootsektors nicht vorhanden. Bei der Durchsuchung der Umgebung wurde eine zunehmende Verschiebung von +024 Sektoren relativ zum letzten MFT-Fragment gefunden.
Reis. 12 Kopie des NTFS-Bootsektors
Wir ignorieren die andere Kopie des Bootsektors bei Offset 18, da sie nicht mit unserer Partition zusammenhängt. Basierend auf früheren Aktivitäten wurde festgestellt, dass innerhalb des Abschnitts 041 Sektoren enthalten sind, die in der Sendung „aufgetaucht“ sind, wodurch die Daten erweitert wurden.
Wir führen einen vollständigen Lesevorgang des Laufwerks durch, wobei 34 ungelesene Sektoren übrig bleiben. Leider kann nicht zuverlässig garantiert werden, dass es sich bei allen Fehlern um aus der P-Liste entfernte Fehler handelt. Bei der weiteren Analyse empfiehlt es sich jedoch, deren Position zu berücksichtigen, da in einigen Fällen die Schaltpunkte zuverlässig bestimmt werden können eine Genauigkeit des Sektors und nicht der Datei.
Reis. 13 Statistiken zum Lesen der Festplatte.
Unsere nächste Aufgabe wird darin bestehen, die ungefähren Orte der Verschiebungen zu ermitteln (mit der Genauigkeit der Datei, in der sie aufgetreten sind). Dazu scannen wir alle MFT-Datensätze und erstellen Ketten von Dateispeicherorten (Dateifragmente).
Reis. 14 Speicherortketten von Dateien oder deren Fragmenten.
Als nächstes suchen wir von Datei zu Datei nach dem Moment, in dem anstelle des erwarteten Dateiheaders andere Daten vorhanden sind und der gewünschte Header mit einer bestimmten positiven Verschiebung gefunden wird. Und während wir die Schaltpunkte verfeinern, füllen wir die Tabelle aus. Das Ergebnis der Befüllung ist, dass über 99 % der Dateien unbeschädigt sind.
Reis. 15 Liste der Benutzerdateien (vom Kunden wurde die Zustimmung zur Veröffentlichung dieses Screenshots eingeholt)
Um Punktverschiebungen in einzelnen Dateien festzustellen, können Sie zusätzliche Arbeiten durchführen und, wenn Sie die Struktur der Datei kennen, Einschlüsse von Daten finden, die nicht damit in Zusammenhang stehen. Aber bei dieser Aufgabe war es wirtschaftlich nicht machbar.
PS: Ich möchte mich auch an meine Kollegen wenden, in deren Händen sich diese CD zuvor befand. Seien Sie bitte bei der Arbeit mit der Geräte-Firmware vorsichtig und sichern Sie die Servicedaten, bevor Sie etwas ändern, und verschlimmern Sie das Problem nicht absichtlich, wenn Sie sich mit dem Kunden über die Arbeit nicht einigen konnten.
Source: habr.com