Se oli 2019. Laboratoriomme sai QUANTUM FIREBALL Plus KA -aseman, jonka kapasiteetti on 9.1 Gt, mikä ei ole aika yleistä. Aseman omistajan mukaan vika johtui jo vuonna 2004 viallisesta virtalähteestä, joka vei kovalevyn ja muut PC-komponentit mukanaan. Sitten käytiin eri palveluissa, joissa yritettiin korjata asemaa ja palauttaa tietoja, jotka epäonnistuivat. Joissain tapauksissa he lupasivat sen olevan halpaa, mutta he eivät koskaan ratkaisseet ongelmaa, toisissa se oli liian kallista ja asiakas ei halunnut palauttaa tietoja, mutta lopulta levy meni useiden palvelukeskusten läpi. Se katosi useita kertoja, mutta kiitos siitä, että omistaja huolehti etukäteen tietojen tallentamisesta levylle erilaisista tarroista, hän onnistui varmistamaan, että hänen kiintolevynsä palautettiin joistakin palvelukeskuksista. Kävelyt eivät sujuneet jälkiä jättämättä, alkuperäiseen ohjainlevyyn jäi useita juotosjälkiä, ja SMD-elementtien puute tuntui myös visuaalisesti (edellä katsottuna sanon, että tämä on tämän aseman pienin ongelma).
Riisi. 1 HDD Quantum Fireball Plus KA 9,1 Gt
Ensimmäisenä piti etsiä luovuttaja-arkistosta tämän aseman ikivanha kaksoisveli toimivalla ohjainkortilla. Kun tämä tehtävä oli suoritettu, tuli mahdolliseksi suorittaa laajoja diagnostisia toimenpiteitä. Tarkistettuamme moottorin käämit oikosulun varalta ja varmistamalla, ettei oikosulkua ole, asennamme kortin luovuttajakäytöstä potilaskäyttöön. Laitamme virtaa ja kuulemme normaalin akselin pyörimisen äänen, läpäisemme kalibrointitestin laiteohjelmiston latauksella ja muutaman sekunnin kuluttua taajuusmuuttaja ilmoittaa rekistereillä, että se on valmis vastaamaan käyttöliittymän komentoihin.
Riisi. 2 DRD DSC -merkkivaloa osoittavat valmiuden vastaanottaa komentoja.
Varmuuskopioimme kaikki laiteohjelmistomoduulien kopiot. Tarkistamme laiteohjelmistomoduulien eheyden. Moduulien lukemisessa ei ole ongelmia, mutta raporttien analysointi osoittaa, että joitain omituisuuksia löytyy.
Riisi. 3. Aluetaulukko.
Kiinnitämme huomiota vyöhykejakaumataulukkoon ja huomaamme, että sylinterien lukumäärä on 13845.
Riisi. 4 P-lista (primary list – luettelo tuotantosyklin aikana ilmenneistä vioista).
Kiinnitämme huomiota vikojen liian pieneen määrään ja niiden sijaintiin. Katsomme tehdasvian piilotuslokimoduulia (60h) ja huomaamme, että se on tyhjä eikä sisällä yhtään merkintää. Tämän perusteella voidaan olettaa, että jossakin aikaisemmista palvelukeskuksista on saatettu tehdä joitain manipulaatioita taajuusmuuttajan huoltoalueella ja vahingossa tai tarkoituksella on kirjoitettu vieras moduuli tai vikaluettelo alkuperäiseen yksi tyhjennettiin. Tämän oletuksen testaamiseksi luomme Data Extractorissa tehtävän, jossa "luo sektorikohtainen kopio" ja "luo virtuaalinen kääntäjä" -vaihtoehdot ovat käytössä.
Riisi. 5 Tehtävän parametrit.
Tehtävän luomisen jälkeen katsomme osiotaulukon merkintöjä sektorissa nolla (LBA 0)
Riisi. 6 Pääkäynnistystietue ja osiotaulukko.
Offsetissa 0x1BE on yksi merkintä (16 tavua). Osion tiedostojärjestelmätyyppi on NTFS, siirtynyt 0x3F (63) sektorin alkuun, osion koko 0x011309A3 (18 024 867).
Avaa sektorieditorissa LBA 63.
Riisi. 7 NTFS-käynnistyssektori
NTFS-osion käynnistyssektorin tietojen mukaan voidaan sanoa seuraavaa: taltiossa hyväksytty sektorin koko on 512 tavua (sana 0x0 (0) kirjoitetaan offsetille 0200x512B), klusterin sektorien määrä on 8 (tavu 0x0 kirjoitetaan siirtymään 0x08D), klusterin koko on 512x8=4096 tavua, ensimmäinen MFT-tietue sijaitsee 6 291 519 sektorin siirrossa levyn alusta (0x30 nelinkertaisen sanan 0x00 00 siirrolla 00 00C 00 0 (00 00) ensimmäisen MFT-klusterin numero Sektorinumero lasketaan kaavalla: Klusterin numero * sektorien lukumäärä klusterissa + offset osan alkuun 786 432* 786+432= 8 63 6).
Siirrytään sektoriin 6 291 519.
Kuva 8
Mutta tämän sektorin sisältämät tiedot ovat täysin erilaisia kuin MFT-tietueet. Vaikka tämä viittaa mahdolliseen virheelliseen käännökseen, joka johtuu virheellisestä vikaluettelosta, se ei todista tätä tosiasiaa. Lisätarkistusta varten luemme levyä 10 000 sektorilla molempiin suuntiin verrattuna 6 291 519 sektoriin. Ja sitten etsimme säännöllisiä lausekkeita lukemastamme.
Riisi. 9 Ensimmäinen MFT-tallennus
Sektorista 6 291 551 löydämme ensimmäisen MFT-tietueen. Sen sijainti eroaa lasketusta 32 sektorilla, ja sitten seuraa jatkuvasti 16 tietueen ryhmä (0-15). Syötetään sektorin 6 291 519 sijainti siirtotaulukkoon ja siirrytään eteenpäin 32 sektoria.
Kuva 10
Tietueen nro 16 sijainnin tulisi olla offsetissa 12 551 431, mutta sieltä löytyy nollia MFT-tietueen sijaan. Tehdään vastaava haku lähiseudulla.
Riisi. 11 MFT-merkintä 0x00000011 (17)
Suuri fragmentti MFT:stä havaitaan alkaen tietueesta numero 17, jonka pituus on 53 646 tietuetta) 17 sektorin siirtymällä. Aseta sijainnille 12 155 431 +17 sektorin siirto siirtotaulukkoon.
Määritettyämme MFT-fragmenttien sijainnin avaruudessa voimme päätellä, että tämä ei näytä sattumanvaraiselta epäonnistumiselta ja MFT-fragmenttien tallentamisesta vääriin siirtymiin. Versio, jossa on väärä käännös, voidaan katsoa vahvistetuksi.
Siirtopisteiden paikallistamiseksi lisää asetamme suurimman mahdollisen siirtymän. Tätä varten määritämme, kuinka paljon NTFS-osion loppumerkkiä (käynnistyssektorin kopio) on siirretty. Kuvassa 7, siirrolla 0x28, nelisana on osion koon arvo 0x00 00 00 00 01 13 09 A2 (18 024 866) sektorille. Lisätään itse osion siirtymä levyn alusta sen pituuteen ja saadaan loppu NTFS-merkin offset 18 024 866 + 63 = 18 024 929. Kuten odotettiin, vaadittua käynnistyssektorin kopiota ei ollut siellä. Ympäröivältä alueelta etsittäessä se löydettiin kasvavalla +12 sektorin siirtymällä viimeiseen MFT-fragmenttiin.
Riisi. 12 Kopio NTFS-käynnistyssektorista
Jätämme huomioimatta käynnistyssektorin toisen kopion offsetissa 18 041 006, koska se ei liity osioon. Aikaisempien toimintojen perusteella todettiin, että osiossa on 61 lähetyksessä "poksahtanut" sektoria, jotka laajensivat dataa.
Suoritamme aseman täyden lukemisen, joka jättää 34 lukematonta sektoria. Valitettavasti on mahdotonta taata luotettavasti, että kaikki ovat P-listalta poistettuja vikoja, mutta jatkoanalyysissä on suositeltavaa ottaa huomioon niiden sijainti, koska joissain tapauksissa siirtopisteet voidaan määrittää luotettavasti sektorin, ei tiedoston, tarkkuus.
Riisi. 13 Levyn lukutilastot.
Seuraava tehtävämme on määrittää siirtojen likimääräiset sijainnit (sen tiedoston tarkkuudella, jossa ne tapahtuivat). Tätä varten skannaamme kaikki MFT-tietueet ja rakennamme tiedostojen sijaintiketjuja (tiedostofragmentteja).
Riisi. 14 Tiedostojen tai niiden fragmenttien sijaintiketjut.
Seuraavaksi siirryttäessä tiedostosta tiedostoon etsitään hetkeä, jolloin odotetun tiedoston otsikon sijaan tulee muuta dataa, ja haluttu otsikko löytyy tietyllä positiivisella siirrolla. Ja kun tarkennamme vaihtopisteitä, täytämme taulukon. Sen täyttämisen tuloksena yli 99 % tiedostoista on vahingoittumaton.
Riisi. 15 Luettelo käyttäjätiedostoista (asiakkaalta saatiin suostumus tämän kuvakaappauksen julkaisemiseen)
Pistesiirtojen määrittämiseksi yksittäisissä tiedostoissa voit suorittaa lisätyötä ja, jos tiedät tiedoston rakenteen, löytää siihen kuulumattomia tietoja. Mutta tässä tehtävässä se ei ollut taloudellisesti kannattavaa.
PS Haluan myös puhua kollegoilleni, joiden käsissä tämä levy oli aiemmin. Ole varovainen työskennellessäsi laitteen laiteohjelmiston kanssa ja varmuuskopioi palvelutiedot ennen kuin muutat mitään, äläkä pahenna ongelmaa tarkoituksella, jos et päässyt sopimaan asiakkaan kanssa työstä.
Lähde: will.com