Ήταν το 2019. Το εργαστήριό μας έλαβε ένα δίσκο QUANTUM FIREBALL Plus KA χωρητικότητας 9.1 GB, κάτι που δεν είναι αρκετά συνηθισμένο για την εποχή μας. Σύμφωνα με τον ιδιοκτήτη της μονάδας, η αποτυχία σημειώθηκε το 2004 λόγω βλάβης στην παροχή ρεύματος, η οποία πήρε μαζί του τον σκληρό δίσκο και άλλα εξαρτήματα του υπολογιστή. Στη συνέχεια υπήρξαν επισκέψεις σε διάφορες υπηρεσίες με προσπάθειες επιδιόρθωσης της μονάδας δίσκου και επαναφοράς δεδομένων, οι οποίες ήταν ανεπιτυχείς. Σε ορισμένες περιπτώσεις υποσχέθηκαν ότι θα ήταν φθηνό, αλλά δεν έλυσαν ποτέ το πρόβλημα, σε άλλες ήταν πολύ ακριβό και ο πελάτης δεν ήθελε να επαναφέρει τα δεδομένα, αλλά τελικά ο δίσκος πέρασε από πολλά κέντρα εξυπηρέτησης. Χάθηκε αρκετές φορές, αλλά χάρη στο γεγονός ότι ο ιδιοκτήτης φρόντισε να καταγράψει εκ των προτέρων πληροφορίες από διάφορα αυτοκόλλητα στη μονάδα, κατάφερε να διασφαλίσει ότι ο σκληρός δίσκος του επιστράφηκε από ορισμένα κέντρα εξυπηρέτησης. Οι βόλτες δεν πέρασαν χωρίς ίχνος, πολλά ίχνη συγκόλλησης παρέμειναν στην αρχική πλακέτα ελεγκτή και η έλλειψη στοιχείων SMD έγινε επίσης οπτικά αισθητή (κοιτάζοντας μπροστά, θα πω ότι αυτό είναι το λιγότερο από τα προβλήματα αυτής της μονάδας).
Ρύζι. 1 HDD Quantum Fireball Plus KA 9,1 GB
Το πρώτο πράγμα που έπρεπε να κάνουμε ήταν να ψάξουμε στο αρχείο δωρητών για έναν τόσο αρχαίο δίδυμο αδερφό αυτής της μονάδας δίσκου με μια λειτουργική πλακέτα ελεγκτή. Όταν ολοκληρώθηκε αυτή η αναζήτηση, κατέστη δυνατή η διενέργεια εκτεταμένων διαγνωστικών μέτρων. Αφού ελέγξουμε τις περιελίξεις του κινητήρα για βραχυκύκλωμα και βεβαιωθούμε ότι δεν υπάρχει βραχυκύκλωμα, τοποθετούμε την πλακέτα από τη μονάδα δότη στη μονάδα δίσκου ασθενούς. Εφαρμόζουμε ισχύ και ακούμε τον κανονικό ήχο του άξονα να περιστρέφεται προς τα πάνω, περνώντας μια δοκιμή βαθμονόμησης με τη φόρτωση του υλικολογισμικού και μετά από λίγα δευτερόλεπτα ο δίσκος αναφέρει από καταχωρητές ότι είναι έτοιμος να ανταποκριθεί σε εντολές από τη διεπαφή.
Ρύζι. 2 ενδείξεις DRD DSC δείχνουν ετοιμότητα λήψης εντολών.
Δημιουργούμε αντίγραφα ασφαλείας όλων των αντιγράφων των μονάδων υλικολογισμικού. Ελέγχουμε την ακεραιότητα των μονάδων υλικολογισμικού. Δεν υπάρχουν προβλήματα με την ανάγνωση ενοτήτων, αλλά η ανάλυση των αναφορών δείχνει ότι υπάρχουν κάποιες παραξενιές.
Ρύζι. 3. Πίνακας ζωνών.
Προσέχουμε τον πίνακα κατανομής ζωνών και σημειώνουμε ότι ο αριθμός των κυλίνδρων είναι 13845.
Ρύζι. 4 P-list (κύριος κατάλογος – κατάλογος ελαττωμάτων που παρουσιάστηκαν κατά τη διάρκεια του κύκλου παραγωγής).
Εφιστούμε την προσοχή στον πολύ μικρό αριθμό ελαττωμάτων και τη θέση τους. Εξετάζουμε τη μονάδα καταγραφής απόκρυψης εργοστασιακών ελαττωμάτων (60h) και διαπιστώνουμε ότι είναι άδεια και δεν περιέχει ούτε μία καταχώρηση. Με βάση αυτό, μπορούμε να υποθέσουμε ότι σε ένα από τα προηγούμενα κέντρα σέρβις, μπορεί να έχουν γίνει κάποιοι χειρισμοί με την περιοχή σέρβις της μονάδας και κατά λάθος ή σκόπιμα γράφτηκε μια ξένη μονάδα ή η λίστα ελαττωμάτων στο πρωτότυπο το ένα καθαρίστηκε. Για να ελέγξουμε αυτήν την υπόθεση, δημιουργούμε μια εργασία στο Data Extractor με ενεργοποιημένες τις επιλογές "δημιουργία αντιγράφου τομέα προς τομέα" και "δημιουργία εικονικού μεταφραστή".
Ρύζι. 5 Παράμετροι εργασιών.
Έχοντας δημιουργήσει την εργασία, εξετάζουμε τις εγγραφές στον πίνακα διαμερισμάτων στον τομέα μηδέν (LBA 0)
Ρύζι. 6 Κύρια εγγραφή εκκίνησης και πίνακας διαμερισμάτων.
Στη μετατόπιση 0x1BE υπάρχει μία μόνο καταχώρηση (16 byte). Ο τύπος συστήματος αρχείων στο διαμέρισμα είναι NTFS, με μετατόπιση στην αρχή των τομέων 0x3F (63), μέγεθος διαμερίσματος 0x011309A3 (18).
Στο πρόγραμμα επεξεργασίας τομέα, ανοίξτε το LBA 63.
Ρύζι. 7 Τομέας εκκίνησης NTFS
Σύμφωνα με τις πληροφορίες στον τομέα εκκίνησης του διαμερίσματος NTFS, μπορούμε να πούμε τα εξής: το μέγεθος τομέα που γίνεται αποδεκτό στον τόμο είναι 512 byte (η λέξη 0x0 (0) γράφεται με μετατόπιση 0200x512B), ο αριθμός των τομέων στο σύμπλεγμα είναι 8 (byte 0x0 γράφεται σε μετατόπιση 0x08D), το μέγεθος του συμπλέγματος είναι 512x8=4096 byte, η πρώτη εγγραφή MFT βρίσκεται σε μετατόπιση 6 τομέων από την αρχή του δίσκου (με μετατόπιση 291x519 τετραπλή λέξη 0x30 0 00C 00 00 (00) αριθμός του πρώτου συμπλέγματος MFT. Ο αριθμός τομέα υπολογίζεται με τον τύπο: Αριθμός συμπλέγματος * αριθμός τομέων στο σύμπλεγμα + μετατόπιση στην αρχή της ενότητας 00* 0+00= 00).
Ας περάσουμε στον τομέα 6.
Σχήμα. 8
Αλλά τα δεδομένα που περιέχονται σε αυτόν τον τομέα είναι εντελώς διαφορετικά από το αρχείο MFT. Αν και αυτό υποδηλώνει μια πιθανή εσφαλμένη μετάφραση λόγω λανθασμένης λίστας ελαττωμάτων, δεν αποδεικνύει αυτό το γεγονός. Για περαιτέρω έλεγχο, θα διαβάσουμε το δίσκο κατά 10 τομείς και προς τις δύο κατευθύνσεις σε σχέση με 000 τομείς. Και μετά θα ψάξουμε για κανονικές εκφράσεις σε αυτά που διαβάζουμε.
Ρύζι. 9 Πρώτη εγγραφή MFT
Στον τομέα 6 βρίσκουμε την πρώτη εγγραφή MFT. Η θέση του διαφέρει από την υπολογιζόμενη κατά 291 τομείς και στη συνέχεια ακολουθεί συνεχώς μια ομάδα 551 εγγραφών (από 32 έως 16). Ας εισάγουμε τη θέση του τομέα 0 στον πίνακα μετατόπισης και ας προχωρήσουμε κατά 15 τομείς.
Σχήμα. 10
Η θέση του ρεκόρ Νο. 16 θα πρέπει να είναι στο offset 12, αλλά βρίσκουμε μηδενικά εκεί αντί για το ρεκόρ MFT. Ας κάνουμε ανάλογη έρευνα στη γύρω περιοχή.
Ρύζι. 11 είσοδος MFT 0x00000011 (17)
Εντοπίζεται ένα μεγάλο θραύσμα MFT, ξεκινώντας από τον αριθμό εγγραφής 17 με μήκος 53 εγγραφές) με μετατόπιση 646 τομέων. Για τη θέση 17, βάλτε μια μετατόπιση +12 τομέων στον πίνακα μετατόπισης.
Έχοντας καθορίσει τη θέση των θραυσμάτων MFT στο χώρο, μπορούμε να συμπεράνουμε ότι αυτό δεν μοιάζει με τυχαία αποτυχία και καταγραφή θραυσμάτων MFT σε λανθασμένες μετατοπίσεις. Μια έκδοση με λανθασμένο μεταφραστή μπορεί να θεωρηθεί επιβεβαιωμένη.
Για περαιτέρω εντοπισμό των σημείων μετατόπισης, θα ορίσουμε τη μέγιστη δυνατή μετατόπιση. Για να γίνει αυτό, προσδιορίζουμε πόσο μετατοπίζεται ο δείκτης τέλους του διαμερίσματος NTFS (αντίγραφο του τομέα εκκίνησης). Στο Σχήμα 7, σε μετατόπιση 0x28, η τετραλέξη είναι η τιμή μεγέθους διαμερίσματος των τομέων 0x00 00 00 00 01 13 09 A2 (18). Ας προσθέσουμε τη μετατόπιση του ίδιου του διαμερίσματος από την αρχή του δίσκου στο μήκος του, και λαμβάνουμε τη μετατόπιση του τελικού δείκτη NTFS 024 + 866= 18. Όπως ήταν αναμενόμενο, το απαιτούμενο αντίγραφο του τομέα εκκίνησης δεν υπήρχε. Κατά την αναζήτηση της γύρω περιοχής, βρέθηκε με μια αυξανόμενη μετατόπιση +024 τομέων σε σχέση με το τελευταίο θραύσμα MFT.
Ρύζι. 12 Αντίγραφο του τομέα εκκίνησης NTFS
Αγνοούμε το άλλο αντίγραφο του τομέα εκκίνησης με μετατόπιση 18, καθώς δεν σχετίζεται με το διαμέρισμα μας. Με βάση προηγούμενες δραστηριότητες, διαπιστώθηκε ότι εντός της ενότητας υπάρχουν ενσωματώσεις 041 τομέων που «ανέβηκαν» στη μετάδοση, γεγονός που επέκτεινε τα δεδομένα.
Εκτελούμε μια πλήρη ανάγνωση της μονάδας δίσκου, η οποία αφήνει 34 μη αναγνωσμένους τομείς. Δυστυχώς, είναι αδύνατο να εγγυηθούμε αξιόπιστα ότι όλα αυτά είναι ελαττώματα που έχουν αφαιρεθεί από τη λίστα P, αλλά σε περαιτέρω ανάλυση συνιστάται να ληφθεί υπόψη η θέση τους, καθώς σε ορισμένες περιπτώσεις θα είναι δυνατός ο αξιόπιστος προσδιορισμός των σημείων μετατόπισης με ακρίβεια του τομέα και όχι του αρχείου.
Ρύζι. 13 Στατιστικά στοιχεία ανάγνωσης δίσκου.
Η επόμενη εργασία μας θα είναι να καθορίσουμε τις κατά προσέγγιση θέσεις των βάρδιων (στην ακρίβεια του αρχείου στο οποίο πραγματοποιήθηκαν). Για να γίνει αυτό, θα σαρώσουμε όλες τις εγγραφές MFT και θα δημιουργήσουμε αλυσίδες θέσεων αρχείων (θραύσματα αρχείων).
Ρύζι. 14 Αλυσίδες τοποθεσίας αρχείων ή θραυσμάτων τους.
Στη συνέχεια, μετακινούμενοι από αρχείο σε αρχείο, αναζητούμε τη στιγμή κατά την οποία θα υπάρχουν άλλα δεδομένα αντί για την αναμενόμενη κεφαλίδα αρχείου και η επιθυμητή κεφαλίδα θα βρεθεί με μια ορισμένη θετική μετατόπιση. Και καθώς τελειοποιούμε τα σημεία μετατόπισης, συμπληρώνουμε τον πίνακα. Το αποτέλεσμα της συμπλήρωσής του θα είναι πάνω από το 99% των αρχείων χωρίς ζημιά.
Ρύζι. 15 Λίστα αρχείων χρήστη (λήφθηκε συγκατάθεση από τον πελάτη για τη δημοσίευση αυτού του στιγμιότυπου οθόνης)
Για να καθορίσετε μετατοπίσεις σημείων σε μεμονωμένα αρχεία, μπορείτε να εκτελέσετε πρόσθετη εργασία και, εάν γνωρίζετε τη δομή του αρχείου, να βρείτε συμπεριλήψεις δεδομένων που δεν σχετίζονται με αυτό. Αλλά σε αυτό το έργο δεν ήταν οικονομικά εφικτό.
Υ.Γ. Θα ήθελα να απευθυνθώ και στους συναδέλφους μου, στα χέρια των οποίων βρισκόταν παλαιότερα αυτός ο δίσκος. Να είστε προσεκτικοί όταν εργάζεστε με το υλικολογισμικό της συσκευής και να δημιουργείτε αντίγραφα ασφαλείας των δεδομένων υπηρεσίας προτού αλλάξετε οτιδήποτε και μην επιδεινώσετε σκόπιμα το πρόβλημα εάν δεν μπορέσατε να συμφωνήσετε με τον πελάτη για την εργασία.
Πηγή: www.habr.com