2019 بود. آزمایشگاه ما یک درایو QUANTUM FIREBALL Plus KA با ظرفیت 9.1 گیگابایت دریافت کرد که برای زمان ما چندان رایج نیست. به گفته صاحب درایو، این خرابی در سال 2004 به دلیل یک منبع تغذیه خراب رخ داد که هارد دیسک و سایر اجزای رایانه شخصی را با خود برد. سپس بازدیدهایی از سرویس های مختلف با تلاش برای تعمیر درایو و بازیابی اطلاعات انجام شد که ناموفق بود. در برخی موارد آنها قول دادند که ارزان خواهد بود، اما هرگز مشکل را حل نکردند، در برخی دیگر بسیار گران بود و مشتری نمی خواست داده ها را بازیابی کند، اما در نهایت دیسک از مراکز خدمات زیادی عبور کرد. چندین بار گم شد، اما به لطف این واقعیت که مالک از قبل از ضبط اطلاعات از استیکرهای مختلف روی درایو مراقبت می کرد، موفق شد از بازگرداندن هارد دیسک خود از برخی مراکز خدمات اطمینان حاصل کند. پیاده روی ها بدون هیچ ردی سپری نشدند، چندین اثر لحیم کاری روی برد کنترل کننده اصلی باقی ماند و کمبود عناصر SMD نیز از نظر بصری احساس شد (با نگاهی به آینده، می گویم که این کمترین مشکل این درایو است).
برنج. 1 HDD Quantum Fireball Plus KA 9,1 گیگابایت
اولین کاری که باید انجام میدادیم این بود که در آرشیو اهداکننده، برادر دوقلوی باستانی این درایو را با یک برد کنترلکننده در حال کار جستجو کنیم. هنگامی که این تلاش تکمیل شد، انجام اقدامات تشخیصی گسترده ممکن شد. پس از بررسی اتصال کوتاه سیم پیچ های موتور و اطمینان از عدم اتصال کوتاه، برد را از درایو اهداکننده به درایو بیمار نصب می کنیم. ما پاور را اعمال می کنیم و صدای عادی چرخش شفت را می شنویم، آزمایش کالیبراسیون را با بارگذاری سیستم عامل انجام می دهیم و پس از چند ثانیه درایو توسط رجیسترها گزارش می دهد که آماده پاسخگویی به دستورات از رابط است.
برنج. 2 نشانگر DRD DSC نشانگر آمادگی برای دریافت دستورات است.
ما از تمام کپی های ماژول های سیستم عامل نسخه پشتیبان تهیه می کنیم. ما یکپارچگی ماژول های سیستم عامل را بررسی می کنیم. هیچ مشکلی در خواندن ماژول ها وجود ندارد، اما تجزیه و تحلیل گزارش ها نشان می دهد که برخی از موارد عجیب و غریب وجود دارد.
برنج. 3. جدول زون.
به جدول توزیع منطقه ای توجه می کنیم و توجه می کنیم که تعداد سیلندرها 13845 می باشد.
برنج. 4 P-list (لیست اولیه - لیست عیوب معرفی شده در طول چرخه تولید).
ما توجه را به تعداد بسیار کم نقص و محل آنها جلب می کنیم. ما به ماژول لاگ پنهان کردن نقص کارخانه (60 ساعت) نگاه می کنیم و متوجه می شویم که خالی است و شامل یک ورودی نیست. بر این اساس می توان فرض کرد که در یکی از مراکز خدمات قبلی ممکن است دستکاری هایی با ناحیه سرویس درایو انجام شده باشد و به طور تصادفی یا عمدی یک ماژول خارجی نوشته شده باشد یا لیست عیوب در نسخه اصلی نوشته شده باشد. یکی پاک شد برای آزمایش این فرض، یک کار در Data Extractor ایجاد میکنیم که گزینههای «ایجاد کپی بخش به بخش» و «ایجاد مترجم مجازی» فعال است.
برنج. 5 پارامتر وظیفه.
پس از ایجاد کار، به ورودی های جدول پارتیشن در بخش صفر نگاه می کنیم (LBA 0)
برنج. 6 رکورد اصلی بوت و جدول پارتیشن.
در آفست 0x1BE یک ورودی (16 بایت) وجود دارد. نوع سیستم فایل روی پارتیشن NTFS است که به ابتدای بخشهای 0x3F (63)، اندازه پارتیشن 0x011309A3 (18) است.
در ویرایشگر بخش، LBA 63 را باز کنید.
برنج. 7 بخش بوت NTFS
با توجه به اطلاعات موجود در بخش بوت پارتیشن NTFS می توان موارد زیر را بیان کرد: اندازه بخش پذیرفته شده در حجم 512 بایت است (کلمه 0x0 (0) با آفست 0200x512B نوشته شده است)، تعداد سکتورها در کلاستر است. 8 (بایت 0x0 در آفست 0x08D نوشته می شود)، اندازه خوشه 512x8 = 4096 بایت است، اولین رکورد MFT در آفست 6 سکتور از ابتدای دیسک قرار دارد (با آفست 291x519 کلمه چهارگانه 0x30 0 00 00C 00 00 (00) شماره اولین خوشه MFT. شماره بخش با فرمول محاسبه می شود: شماره خوشه * تعداد سکتورها در خوشه + افست تا ابتدای بخش 0* 00+00= 786).
بیایید به بخش 6 برویم.
شکل 8
اما داده های موجود در این بخش کاملاً با رکورد MFT متفاوت است. اگرچه این نشان دهنده ترجمه نادرست احتمالی به دلیل لیست نقص نادرست است، اما این واقعیت را ثابت نمی کند. برای بررسی بیشتر، دیسک را با 10 سکتور در هر دو جهت نسبت به 000 سکتور می خوانیم. و سپس عبارات منظم را در آنچه می خوانیم جستجو می کنیم.
برنج. 9 اولین ضبط MFT
در بخش 6 اولین رکورد MFT را پیدا می کنیم. موقعیت آن 291 سکتور با یک محاسبه شده متفاوت است و سپس یک گروه 551 رکوردی (از 32 تا 16) به طور مداوم دنبال می شود. بیایید موقعیت سکتور 0 را وارد جدول شیفت کنیم و 15 سکتور جلو برویم.
شکل 10
موقعیت رکورد شماره 16 باید در افست 12 باشد، اما ما به جای رکورد MFT صفرها را در آنجا پیدا می کنیم. بیایید جستجوی مشابهی را در منطقه اطراف انجام دهیم.
برنج. 11 ورودی MFT 0x00000011 (17)
قطعه بزرگی از MFT شناسایی می شود که با رکورد شماره 17 با طول 53 رکورد شروع می شود) با تغییر 646 سکتور. برای موقعیت 17، یک شیفت از 12 سکتور را در جدول شیفت قرار دهید.
پس از تعیین موقعیت قطعات MFT در فضا، میتوان نتیجه گرفت که این یک شکست تصادفی و ثبت قطعات MFT در جابجاییهای نادرست به نظر نمیرسد. نسخه ای با مترجم نادرست را می توان تایید شده در نظر گرفت.
برای بومی سازی بیشتر نقاط شیفت، حداکثر جابجایی ممکن را تعیین می کنیم. برای انجام این کار، تعیین می کنیم که نشانگر انتهای پارتیشن NTFS (کپی از بخش بوت) چقدر جابجا شده است. در شکل 7، در افست 0x28، چهار کلمه مقدار اندازه پارتیشن 0x00 00 00 00 01 13 09 A2 (18) است. بیایید افست خود پارتیشن از ابتدای دیسک را به طول آن اضافه کنیم و افست نشانگر NTFS انتهایی 024 + 866= 18 را دریافت می کنیم. همانطور که انتظار می رفت، کپی مورد نیاز بخش بوت وجود نداشت. هنگام جستجوی منطقه اطراف، با تغییر فزاینده 024 سکتور نسبت به آخرین قطعه MFT یافت شد.
برنج. 12 کپی از بخش بوت NTFS
ما کپی دیگر بخش بوت را با افست 18 نادیده می گیریم، زیرا به پارتیشن ما مربوط نمی شود. بر اساس فعالیت های قبلی، مشخص شد که در داخل بخش شامل 041 بخش است که در پخش ظاهر می شود، که داده ها را گسترش می دهد.
ما یک خواندن کامل از درایو انجام می دهیم که 34 بخش خوانده نشده باقی می ماند. متأسفانه، نمی توان به طور قابل اعتماد تضمین کرد که همه آنها نقص هایی هستند که از لیست P حذف شده اند، اما در تجزیه و تحلیل بیشتر توصیه می شود موقعیت آنها را در نظر بگیریم، زیرا در برخی موارد می توان به طور قابل اعتماد نقاط تغییر را با دقت بخش، و نه فایل.
برنج. 13 آمار خواندن دیسک.
وظیفه بعدی ما تعیین مکان های تقریبی جابجایی ها (به میزان دقت فایلی است که در آن رخ داده است). برای انجام این کار، تمام رکوردهای MFT را اسکن می کنیم و زنجیره ای از مکان های فایل (پاره های فایل) می سازیم.
برنج. 14 زنجیره مکان فایل ها یا قطعات آنها.
در مرحله بعد، با حرکت از فایلی به فایل دیگر، به دنبال لحظه ای می گردیم که در آن به جای هدر فایل مورد انتظار، داده های دیگری وجود داشته باشد و هدر مورد نظر با یک تغییر مثبت مشخص پیدا شود. و همانطور که نقاط تغییر را اصلاح می کنیم، جدول را پر می کنیم. نتیجه پر کردن آن بیش از 99 درصد فایل ها بدون آسیب خواهد بود.
برنج. 15 لیست فایل های کاربر (رضایت مشتری برای انتشار این اسکرین شات دریافت شد)
برای ایجاد تغییر نقطه در پرونده های فردی، می توانید کارهای اضافی انجام دهید و اگر ساختار فایل را می دانید، گنجاندن داده هایی را که به آن مرتبط نیستند بیابید. اما در این کار از نظر اقتصادی امکان پذیر نبود.
PS من همچنین می خواهم به همکارانم خطاب کنم که قبلاً این دیسک در دست آنها بود. لطفاً هنگام کار با سفتافزار دستگاه مراقب باشید و قبل از تغییر هر چیزی از اطلاعات سرویس پشتیبان تهیه کنید و اگر نتوانستید با مشتری در مورد کار به توافق برسید، عمداً مشکل را تشدید نکنید.
منبع: www.habr.com