מעבר בייסורים או בהיסטוריה הארוכה של ניסיון שחזור נתונים אחד

זה היה 2019. המעבדה שלנו קיבלה כונן QUANTUM FIREBALL Plus KA בקיבולת 9.1GB, מה שלא ממש נפוץ לתקופתנו. לדברי בעל הכונן, התקלה אירעה עוד בשנת 2004 עקב אספקת חשמל כושלת, שלקחה את הכונן הקשיח ושאר רכיבי המחשב האישי. לאחר מכן היו ביקורים בשירותים שונים עם ניסיונות לתקן את הכונן ולשחזר נתונים, שלא צלחו. בחלק מהמקרים הבטיחו שזה יהיה זול, אך מעולם לא פתרו את הבעיה, במקרים אחרים זה היה יקר מדי והלקוח לא רצה לשחזר את הנתונים, אבל בסופו של דבר הדיסק עבר בהרבה מרכזי שירות. הוא אבד מספר פעמים, אך בזכות העובדה שהבעלים דאג לרשום מראש מידע ממדבקות שונות על הכונן, הוא הצליח להבטיח שהכונן הקשיח שלו יוחזר מכמה מרכזי שירות. ההליכות לא עברו ללא עקבות, עקבות מרובים של הלחמה נותרו על לוח הבקר המקורי, וגם המחסור באלמנטים של SMD הורגש ויזואלית (במבט קדימה, אני אגיד שזו הבעיות הקטנות ביותר של הכונן הזה).

אורז. 1 HDD Quantum Fireball Plus KA 9,1GB

הדבר הראשון שהיינו צריכים לעשות היה לחפש בארכיון התורמים אח תאום עתיק כל כך של הכונן הזה עם לוח בקר עובד. לאחר השלמת מסע זה, ניתן היה לבצע אמצעי אבחון נרחבים. לאחר בדיקת פיתולי המנוע לקצר ולוודא שאין קצר חשמלי, אנו מתקינים את הלוח מהכונן התורם לכונן המטופל. אנו מפעילים כוח ושומעים את הצליל הרגיל של הציר מסתובב למעלה, עוברים מבחן כיול עם טעינת הקושחה, ולאחר מספר שניות הכונן מדווח לפי אוגרים שהוא מוכן להגיב לפקודות מהממשק.

אורז. 2 מחווני DRD DSC מציינים מוכנות לקבל פקודות.

אנו מגבים את כל העותקים של מודולי הקושחה. אנו בודקים את תקינות מודולי הקושחה. אין בעיות בקריאת מודולים, אבל ניתוח הדוחות מראה שיש כמה מוזרויות.

אורז. 3. טבלת אזורים.

שמים לב לטבלת החלוקה האזורית ומציינים שמספר הצילינדרים הוא 13845.

אורז. 4 P-list (רשימה ראשונית - רשימת פגמים שהוכנסו במהלך מחזור הייצור).

אנו מפנים את תשומת הלב למספר הקטן מדי של הליקויים ומיקומם. אנו מסתכלים על מודול יומן הסתרת פגמים במפעל (60h) ומגלים שהוא ריק ואינו מכיל ערך אחד. בהתבסס על זה, אנו יכולים להניח שבאחד ממרכזי השירות הקודמים, ייתכן שנעשו מניפולציות מסוימות עם אזור השירות של הכונן, ובטעות או בכוונה נכתב מודול זר, או רשימת הפגמים במקור. אחד נוקה. כדי לבדוק הנחה זו, אנו יוצרים משימה ב-Data Extractor כאשר האפשרויות "צור עותק מגזר אחר מגזר" ו"צור מתרגם וירטואלי" מופעלות.

אורז. 5 פרמטרים של משימה.

לאחר יצירת המשימה, אנו מסתכלים על הערכים בטבלת המחיצות בסקטור אפס (LBA 0)

אורז. 6 רשומת אתחול ראשי וטבלת מחיצות.

בהיסט 0x1BE יש כניסה בודדת (16 בתים). סוג מערכת הקבצים במחיצה הוא NTFS, היסט לתחילתם של סקטורים 0x3F (63), גודל המחיצה 0x011309A3 (18) סקטורים.
בעורך המגזר, פתח את LBA 63.

אורז. 7 סקטור אתחול NTFS

לפי המידע בסקטור האתחול של מחיצת ה-NTFS, אנו יכולים לומר את הדברים הבאים: גודל הסקטור המקובל בנפח הוא 512 בתים (המילה 0x0 (0) כתובה ב-offset 0200x512B), מספר הסקטורים באשכול הוא 8 (בייט 0x0 נכתב בהיסט 0x08D), גודל האשכול הוא 512x8=4096 בתים, רשומת ה-MFT הראשונה ממוקמת בהיסט של 6 סקטורים מתחילת הדיסק (בהיסט של 291x519 מילה מרובעת 0x30 0 00 ) 00 00C 00 00 (0) מספר של אשכול MFT הראשון. מספר הסקטור מחושב לפי הנוסחה: מספר אשכול * מספר מגזרים באשכול + קיזוז לתחילת הסעיף 00* 00+786= 432).
נעבור למגזר 6.

איור. מספר

אבל הנתונים הכלולים במגזר זה שונים לחלוטין מהרשומה של MFT. למרות שהדבר מצביע על תרגום אפשרי שגוי עקב רשימת פגמים שגויה, אין בכך כדי להוכיח עובדה זו. לבדיקה נוספת, נקרא את הדיסק לפי 10 סקטורים בשני הכיוונים ביחס ל-000 סקטורים. ואז נחפש ביטויים רגולריים במה שאנו קוראים.

אורז. 9 הקלטת MFT ראשונה

בסקטור 6 אנו מוצאים את שיא ה-MFT הראשון. מיקומו שונה מהמחושב ב-291 מגזרים, ולאחר מכן קבוצה של 551 רשומות (מ-32 עד 16) עוקבות ברציפות. בואו נכניס את המיקום של מגזר 0 לטבלת המשמרות ונתקדם ב-15 סקטורים.

איור. מספר

המיקום של רשומה מס' 16 צריך להיות בהיסט 12, אך אנו מוצאים שם אפסים במקום רשומת ה-MFT. בואו נערוך חיפוש דומה בסביבה.

אורז. 11 כניסת MFT 0x00000011 (17)

קטע גדול של MFT מזוהה, החל משיא מספר 17 באורך של 53 רשומות) עם תזוזה של 646 סקטורים. עבור עמדה 17, הכנס תזוזה של +12 סקטורים בטבלת המשמרות.
לאחר שקבענו את מיקומם של שברי MFT במרחב, אנו יכולים להסיק שזה לא נראה כמו כשל אקראי והקלטה של ​​שברי MFT בהיסטים שגויים. גרסה עם מתרגם שגוי יכולה להיחשב מאושרת.
כדי ליישב עוד יותר את נקודות המשמרת, נגדיר את התזוזה המקסימלית האפשרית. לשם כך, אנו קובעים עד כמה סמן הקצה של מחיצת NTFS (עותק של סקטור האתחול) מוזז. באיור 7, בהיסט 0x28, ה-quadword הוא ערך גודל המחיצה של סקטורים 0x00 00 00 00 01 13 09 A2 (18). נוסיף את ה-offset של המחיצה עצמה מתחילת הדיסק לאורכו, ונקבל את ה-offset של סמן ה-NTFS הקצה 024 + 866= 18. כצפוי, העותק הנדרש של סקטור האתחול לא היה שם. בעת חיפוש באזור שמסביב, הוא נמצא עם תזוזה גוברת של +024 סקטורים ביחס לשבר MFT האחרון.

אורז. 12 עותק של מגזר האתחול של NTFS

אנו מתעלמים מהעותק השני של סקטור האתחול ב-offset 18, מכיוון שהוא לא קשור למחיצה שלנו. על סמך פעילויות קודמות נקבע כי בתוך המדור יש הכלולים של 041 מגזרים ש"צצו" בשידור, מה שהרחיב את הנתונים.
אנו מבצעים קריאה מלאה של הכונן, מה שמותיר 34 סקטורים שלא נקראו. למרבה הצער, לא ניתן להבטיח באופן מהימן שכולם פגמים שהוסרו מרשימת ה-P, אך בניתוח נוסף רצוי לקחת בחשבון את עמדתם, שכן במקרים מסוימים ניתן יהיה לקבוע באופן מהימן את נקודות המשמרת עם דיוק של המגזר, ולא הקובץ.

אורז. 13 סטטיסטיקות קריאת דיסק.

המשימה הבאה שלנו תהיה לקבוע את המיקומים המשוערים של המשמרות (לדיוק הקובץ שבו התרחשו). לשם כך, נסרוק את כל רשומות ה-MFT ונבנה שרשראות של מיקומי קבצים (שברי קבצים).

אורז. 14 שרשראות של מיקום של קבצים או קטעים שלהם.

לאחר מכן, עוברים מקובץ לקובץ, אנו מחפשים את הרגע שבו יהיו נתונים אחרים במקום כותרת הקובץ הצפויה, והכותרת הרצויה תימצא עם תזוזה חיובית מסוימת. וכאשר אנו משכללים את נקודות המשמרת, אנו ממלאים את הטבלה. התוצאה של מילוי זה תהיה מעל 99% מהקבצים ללא נזק.

אורז. 15 רשימת קבצי משתמש (התקבלה הסכמה מהלקוח לפרסום צילום מסך זה)

כדי לקבוע תזוזות נקודתיות בקבצים בודדים, ניתן לבצע עבודות נוספות, ואם ידוע לכם את מבנה הקובץ, למצוא תכלילים של נתונים שאינם קשורים אליו. אבל במשימה זו זה לא היה כדאי מבחינה כלכלית.

נ.ב. אני רוצה לפנות גם לעמיתיי, שבידיהם היה הדיסק הזה בעבר. אנא היזהר בעת עבודה עם קושחת המכשיר וגיבוי נתוני שירות לפני שתשנה משהו, ואל תחריף את הבעיה בכוונה אם לא הצלחת להסכים עם הלקוח על העבודה.

פרסום קודם: חיסכון בהתאמות או שחזור נתונים מדיסק קשיח שחיקה Seagate ST3000NC002-1DY166

מקור: www.habr.com