Það var 2019. Rannsóknarstofan okkar fékk QUANTUM FIREBALL Plus KA drif með 9.1GB afkastagetu, sem er ekki alveg algengt fyrir okkar tíma. Að sögn eiganda drifsins kom bilunin upp árið 2004 vegna bilaðs aflgjafa sem tók harða diskinn og aðra tölvuhluta með sér. Þá var farið í ýmsar þjónustur þar sem reynt var að gera við drifið og endurheimta gögn sem báru ekki árangur. Í sumum tilfellum lofuðu þeir að það yrði ódýrt, en þeir leystu aldrei vandamálið, í öðrum var það of dýrt og viðskiptavinurinn vildi ekki endurheimta gögnin, en á endanum fór diskurinn í gegnum margar þjónustumiðstöðvar. Það týndist nokkrum sinnum, en þökk sé því að eigandinn sá um að skrá upplýsingar af ýmsum límmiðum á drifið fyrirfram, tókst honum að tryggja að harður diskur hans skilaði sér frá einhverjum þjónustumiðstöðvum. Gönguferðirnar liðu ekki sporlaust, mörg ummerki um lóðun voru eftir á upprunalega stjórnborðinu og skortur á SMD þáttum fannst líka sjónrænt (horft fram á veginn mun ég segja að þetta sé minnsta vandamál þessa drifs).
Hrísgrjón. 1 HDD Quantum Fireball Plus KA 9,1GB
Það fyrsta sem við þurftum að gera var að leita í gjafasafninu að svona fornum tvíburabróður þessa drifs með virku stjórnborði. Þegar þessari leit var lokið varð hægt að framkvæma umfangsmiklar greiningaraðgerðir. Eftir að hafa athugað hvort skammhlaup sé í mótorvindunum og gengið úr skugga um að það sé engin skammhlaup, setjum við borðið upp frá gjafadrifinu yfir í sjúklingadrifið. Við beitum krafti og heyrum venjulegt hljóð af skaftinu sem snýst upp, standast kvörðunarpróf með því að hlaða fastbúnaðinum, og eftir nokkrar sekúndur tilkynnir drifið með skrám að það sé tilbúið til að bregðast við skipunum frá viðmótinu.
Hrísgrjón. 2 DRD DSC vísar gefa til kynna að þeir séu reiðubúnir til að taka á móti skipunum.
Við tökum öryggisafrit af öllum afritum af vélbúnaðareiningum. Við athugum heilleika fastbúnaðareininganna. Það eru engin vandamál með lestrareiningar, en greining á skýrslunum sýnir að það eru nokkrar undarlegar.
Hrísgrjón. 3. Svæðistafla.
Við gefum gaum að svæðisdreifingartöflunni og athugum að fjöldi strokka er 13845.
Hrísgrjón. 4 P-listi (aðallisti – listi yfir galla sem kynntir eru í framleiðsluferlinu).
Við vekjum athygli á of fáum galla og staðsetningu þeirra. Við skoðum verksmiðjugalla feluskráareininguna (60h) og komumst að því að hún er tóm og inniheldur ekki eina einustu færslu. Byggt á þessu getum við gert ráð fyrir að í einni af fyrri þjónustumiðstöðvum hafi einhverjar breytingar verið gerðar á þjónustusvæði drifsins og óvart eða viljandi var skrifaður erlendur eining, eða listi yfir galla í frumritinu. einn var hreinsaður. Til að prófa þessa forsendu búum við til verkefni í Data Extractor með valkostinum „búa til afrit fyrir svið“ og „búa til sýndarþýðanda“ virkt.
Hrísgrjón. 5 Verkfærisbreytur.
Eftir að hafa búið til verkefnið skoðum við færslurnar í skiptingartöflunni í geira núll (LBA 0)
Hrísgrjón. 6 Master ræsiskrá og skiptingartafla.
Við offset 0x1BE er ein færsla (16 bæti). Skráarkerfisgerðin á skiptingunni er NTFS, á móti upphafi 0x3F (63) geira, skiptingarstærð 0x011309A3 (18) geira.
Opnaðu LBA 63 í geiraritlinum.
Hrísgrjón. 7 NTFS ræsingargeiri
Samkvæmt upplýsingum í ræsingargeiranum á NTFS skiptingunni getum við sagt eftirfarandi: geirastærðin sem er samþykkt í rúmmálinu er 512 bæti (orð 0x0 (0) er skrifað á offset 0200x512B), fjöldi geira í þyrpingunni er 8 (bæti 0x0 er skrifað á offset 0x08D), klasastærðin er 512x8=4096 bæti, fyrsta MFT færslan er staðsett í 6 geirum frá upphafi disksins (með frávikinu 291x519 fjórfaldur orð 0x30 0 00 00 00C 00 00 (0) númer fyrsta MFT klasans. Geiranúmerið er reiknað með formúlunni: Klasafjöldi * fjöldi geira í klasanum + offset við upphaf hlutans 00* 00+786= 432).
Förum yfir í geira 6.
Fig. 8
En gögnin sem eru í þessum geira eru allt önnur en MFT-skráin. Þó að þetta gefi til kynna hugsanlega ranga þýðingu vegna rangrar gallalista, þá sannar það ekki þessa staðreynd. Til að athuga frekar munum við lesa diskinn um 10 geira í báðar áttir miðað við 000 geira. Og svo munum við leita að reglulegum orðasamböndum í því sem við lesum.
Hrísgrjón. 9 Fyrsta MFT upptaka
Í geira 6 finnum við fyrsta MFT metið. Staða þess er frábrugðin útreiknaðri um 291 geira, og síðan fylgir hópur 551 skráa (frá 32 til 16) stöðugt á eftir. Færum stöðu geira 0 inn í vaktatöfluna og förum áfram um 15 geira.
Fig. 10
Staða skráar nr. 16 ætti að vera á móti 12, en við finnum núll þar í stað MFT metsins. Gerum svipaða leit í næsta nágrenni.
Hrísgrjón. 11 MFT færsla 0x00000011 (17)
Stórt brot af MFT greinist, byrjar á met númer 17 með lengd 53 færslur) með tilfærslu upp á 646 geira. Fyrir stöðu 17, settu tilfærslu upp á +12 geira í vaktatöfluna.
Eftir að hafa ákvarðað staðsetningu MFT-brota í geimnum getum við ályktað að þetta líti ekki út eins og tilviljunarkennd bilun og skráning á MFT-brotum með röngum offsetum. Útgáfa með röngum þýðanda getur talist staðfest.
Til að staðsetja vaktpunktana frekar munum við setja hámarks mögulega tilfærslu. Til að gera þetta ákveðum við hversu mikið endamerkið á NTFS skiptingunni (afrit af ræsingargeiranum) færist til. Á mynd 7, við offset 0x28, er fjórorðið skiptastærðargildi 0x00 00 00 00 01 13 09 A2 (18) geira. Við skulum bæta offsetinu á skiptingunni sjálfri frá upphafi disksins við lengd hans og við fáum offsetið á NTFS-endamerkinu 024 + 866= 18. Eins og við var að búast var tilskilið eintak af ræsingargeiranum ekki til staðar. Þegar leitað var á svæðinu í kring fannst það með aukinni tilfærslu upp á +024 geira miðað við síðasta MFT brot.
Hrísgrjón. 12 Afrit af NTFS ræsingargeiranum
Við hunsum hitt eintakið af ræsigeiranum á móti 18, þar sem það er ekki tengt skiptingunni okkar. Byggt á fyrri starfsemi kom í ljós að innan hlutans eru innifalin 041 geiri sem „poppaði upp“ í útsendingunni, sem stækkaði gögnin.
Við framkvæmum fullan lestur á drifinu, sem skilur eftir 34 ólesna geira. Því miður er ómögulegt að ábyrgjast áreiðanlega að allir séu gallar teknir af P-listanum, en við frekari greiningu er ráðlegt að taka tillit til stöðu þeirra, þar sem í sumum tilfellum verður hægt að ákvarða vaktapunkta með áreiðanlegum hætti með nákvæmni geirans, en ekki skráarinnar.
Hrísgrjón. 13 Tölfræði um disklestur.
Næsta verkefni okkar verður að ákvarða áætlaða staðsetningu vakta (að nákvæmni skráarinnar þar sem þær áttu sér stað). Til að gera þetta munum við skanna allar MFT færslur og byggja keðjur af skráarstöðum (skráarbrotum).
Hrísgrjón. 14 Staðsetningarkeðjur skráa eða brota þeirra.
Næst, þegar við færum frá skrá til skráar, leitum við að því augnabliki þar sem önnur gögn verða í stað væntanlegs skráarhauss, og viðkomandi haus mun finnast með ákveðinni jákvæðri breytingu. Og þegar við betrumbætum vaktpunktana fyllum við út töfluna. Niðurstaðan af því að fylla hana verður yfir 99% af skrám án skemmda.
Hrísgrjón. 15 Listi yfir notendaskrár (samþykki barst frá viðskiptavininum til að birta þessa skjámynd)
Til að koma á punktaskiptum í einstökum skrám geturðu unnið aukavinnu og, ef þú þekkir uppbyggingu skráarinnar, fundið innfellingar gagna sem ekki tengjast henni. En í þessu verkefni var það ekki hagkvæmt.
PS Mig langar líka til að ávarpa samstarfsfólk mitt, sem var áður í höndum þessara diska. Vinsamlega vertu varkár þegar þú vinnur með fastbúnað tækisins og afritar þjónustugögn áður en þú breytir neinu, og ekki vísvitandi auka vandamálið ef þú gætir ekki verið sammála viðskiptavininum um verkið.
Heimild: www.habr.com