See oli 2019. Meie laborisse sai 9.1GB mahutavusega QUANTUM FIREBALL Plus KA draiv, mis meie ajal pole päris tavaline. Draivi omaniku sõnul tekkis rike juba 2004. aastal rikke tõttu toiteploki tõttu, mis viis kõvaketta ja muud arvutikomponendid kaasa. Seejärel külastati erinevaid teenuseid draivi parandamise ja andmete taastamise katsetega, mis ebaõnnestusid. Mõnel juhul lubasid nad, et see on odav, kuid nad ei lahendanud probleemi, mõnel juhul oli see liiga kallis ja klient ei soovinud andmeid taastada, kuid lõpuks käis ketas läbi paljudest teeninduskeskustest. See läks mitu korda kaotsi, kuid tänu sellele, et omanik hoolitses eelnevalt draivi erinevatelt kleebistelt teabe salvestamise eest, õnnestus tal tagada, et tema kõvaketas tagastati mõnest teeninduskeskusest. Jalutuskäigud ei möödunud jäljetult, algsele kontrolleriplaadile jäid mitmekordsed jootejäljed ning visuaalselt oli tunda ka SMD elementide puudumist (tulevikku vaadates ütlen, et see on selle draivi kõige väiksem probleem).
Riis. 1 HDD Quantum Fireball Plus KA 9,1 GB
Esimese asjana tuli otsida doonori arhiivist selle draivi nii iidset kaksikvenda koos töötava kontrolleriplaadiga. Kui see ülesanne oli lõpule viidud, sai võimalikuks ulatuslike diagnostiliste meetmete võtmine. Pärast mootori mähiste lühise kontrollimist ja lühise puudumise kontrollimist paigaldame plaadi doonoriajamilt patsiendi ajamile. Rakendame toidet ja kuuleme tavalist võlli ülespöörlemise heli, läbides püsivara laadimisega kalibreerimistesti ja mõne sekundi pärast teatab ajam registrite kaupa, et on valmis liidese käskudele vastama.
Riis. 2 DRD DSC indikaatorit näitavad valmisolekut käskude vastuvõtmiseks.
Varundame kõik püsivara moodulite koopiad. Kontrollime püsivara moodulite terviklikkust. Moodulite lugemisega probleeme pole, kuid aruannete analüüs näitab, et seal on veidrusi.
Riis. 3. Tsoonitabel.
Pöörame tähelepanu tsoonide jaotuse tabelile ja paneme tähele, et silindrite arv on 13845.
Riis. 4 P-loetelu (esmane nimekiri – tootmistsükli käigus tekkinud defektide loetelu).
Juhime tähelepanu liiga väikesele defektide arvule ja nende asukohale. Vaatame tehase defekti peitmise logi moodulit (60h) ja leiame, et see on tühi ja ei sisalda ühtegi kirjet. Selle põhjal võime eeldada, et mõnes varasemas teeninduskeskuses võidi draivi teeninduspiirkonnaga manipuleerida ja kogemata või tahtlikult kirjutati võõras moodul või originaali defektide loend. üks puhastati. Selle eelduse testimiseks loome Data Extractoris ülesande, kus on lubatud valikud "loo sektoripõhine koopia" ja "loo virtuaalne tõlkija".
Riis. 5 Ülesande parameetrid.
Pärast ülesande loomist vaatame partitsioonitabeli kirjeid sektoris null (LBA 0)
Riis. 6 Peamine alglaadimiskirje ja partitsioonitabel.
Nihkes 0x1BE on üks kirje (16 baiti). Sektsiooni failisüsteemi tüüp on NTFS, nihutatud 0x3F (63) sektorite algusesse, partitsiooni suurus 0x011309A3 (18 024 867).
Avage sektoriredaktoris LBA 63.
Riis. 7 NTFS-i alglaadimissektor
Vastavalt NTFS-i partitsiooni alglaadimissektori teabele saame öelda järgmist: mahus aktsepteeritud sektori suurus on 512 baiti (sõna 0x0 (0) kirjutatakse nihkele 0200x512B), sektorite arv klastris on 8 (bait 0x0 kirjutatakse nihkes 0x08D), klastri suurus on 512x8=4096 baiti, esimene MFT-kirje asub 6 291 519 sektori nihkes ketta algusest (nihkega 0x30 neljakordne sõna 0x00 00 00 00C 00 0 (00 00) esimese MFT klastri number Sektori number arvutatakse valemiga: Klastri number * sektorite arv klastris + nihe jaotise algusesse 786 432* 786+432= 8 63 6).
Liigume edasi sektorisse 6 291 519.
Joon. 8
Kuid selles sektoris sisalduvad andmed on MFT-kirjest täiesti erinevad. Kuigi see viitab võimalikule ebaõigele tõlkele, mis on tingitud vigade loetelust, ei tõenda see seda asjaolu. Edasiseks kontrollimiseks loeme ketast 10 000 sektori võrra mõlemas suunas, võrreldes 6 291 519 sektoriga. Ja siis otsime loetust regulaaravaldisi.
Riis. 9 Esimene MFT salvestus
Sektorist 6 291 551 leiame esimese MFT rekordi. Selle asukoht erineb arvutatud asukohast 32 sektori võrra ja seejärel järgneb pidevalt 16 kirjest koosnev rühm (0 kuni 15). Sisestame nihketabelisse sektori 6 291 519 positsiooni ja liigume 32 sektori võrra edasi.
Joon. 10
Kirje nr 16 asukoht peaks olema nihkes 12 551 431, kuid sealt leiame MFT rekordi asemel nullid. Teeme sarnase otsingu lähiümbruses.
Riis. 11 MFT kirje 0x00000011 (17)
Tuvastatakse suur MFT fragment, alustades rekordist number 17 pikkusega 53 646 kirjet) 17 sektori nihkega. Positsiooni 12 155 431 jaoks pane vahetuste tabelisse nihe +17 sektorit.
Olles määranud MFT fragmentide asukoha ruumis, võime järeldada, et see ei tundu juhusliku rikke ja MFT fragmentide salvestamisena valede nihetega. Vale tõlgiga versiooni võib lugeda kinnitatuks.
Nihkepunktide edasiseks lokaliseerimiseks määrame maksimaalse võimaliku nihke. Selleks määrame, kui palju NTFS-i partitsiooni lõppmarkerit (boot-sektori koopia) nihutatakse. Joonisel 7 on nihkes 0x28 nelisõna 0x00 00 00 00 01 13 09 A2 (18 024 866) sektorite partitsiooni suuruse väärtus. Lisame partitsiooni enda nihke ketta algusest selle pikkusele ja saame lõpu NTFS-i markeri nihkeks 18 024 866 + 63= 18 024 929. Ootuspäraselt ei olnud alglaadimissektori vajalikku koopiat. Ümbritseva ala otsimisel leiti see suureneva +12 sektori nihkega võrreldes viimase MFT fragmendiga.
Riis. 12 NTFS-i alglaadimissektori koopia
Me ignoreerime alglaadimissektori teist koopiat nihkega 18 041 006, kuna see pole meie partitsiooniga seotud. Varasemate tegevuste põhjal tehti kindlaks, et rubriigi sees on saatesse “poppanud” 61 sektori kaasamised, mis laiendasid andmeid.
Teostame draivi täieliku lugemise, mis jätab 34 lugemata sektorit. Kahjuks on võimatu usaldusväärselt garanteerida, et kõik need on P-nimekirjast eemaldatud defektid, kuid edasises analüüsis on soovitatav arvestada nende asukohta, kuna mõnel juhul on võimalik nihkepunkte usaldusväärselt määrata. sektori, mitte faili täpsust.
Riis. 13 Ketta lugemise statistika.
Meie järgmiseks ülesandeks on määrata nihete ligikaudsed asukohad (vastavalt faili täpsusele, milles need aset leidsid). Selleks skannime kõik MFT-kirjed ja koostame failide asukohtade ahelad (failifragmendid).
Riis. 14 Failide või nende fragmentide asukohaahelad.
Järgmisena otsime faililt failile liikudes hetke, mil oodatava failipäise asemel on muud andmed ja soovitud päis leitakse teatud positiivse nihkega. Ja kui me täpsustame vahetuspunkte, täidame tabeli. Selle täitmise tulemuseks on üle 99% failidest ilma kahjustusteta.
Riis. 15 Kasutajafailide loend (kliendilt saadi nõusolek selle ekraanipildi avaldamiseks)
Üksikute failide punktinihete määramiseks saate teha lisatööd ja, kui teate faili struktuuri, leida sellega mitteseotud andmete lisamisi. Kuid selles ülesandes ei olnud see majanduslikult otstarbekas.
PS Pöördun ka oma kolleegide poole, kelle käes see plaat varem oli. Olge seadme püsivaraga töötades ettevaatlik ja varundage teenuseandmed enne millegi muutmist ning ärge süvendage probleemi tahtlikult, kui te ei suutnud kliendiga töös kokku leppida.
Allikas: www.habr.com