2019 он байлаа. Манай лаборатори QUANTUM FIREBALL Plus KA дискийг 9.1 ГБ багтаамжтай хүлээн авсан нь бидний үед тийм ч түгээмэл биш юм. Драйвын эзний хэлснээр 2004 онд хатуу диск болон компьютерийн бусад эд ангиудыг авч явсан тэжээлийн хангамж тасалдсанаас болж бүтэлгүйтэл гарсан байна. Дараа нь дискийг засах, өгөгдлийг сэргээх оролдлого бүхий янз бүрийн үйлчилгээнд зочилсон боловч амжилтгүй болсон. Зарим тохиолдолд тэд хямд байх болно гэж амласан боловч тэд хэзээ ч асуудлыг шийдэж чадаагүй, бусад тохиолдолд энэ нь хэтэрхий үнэтэй байсан бөгөөд үйлчлүүлэгч өгөгдлийг сэргээхийг хүсэхгүй байсан ч эцэст нь диск нь олон үйлчилгээний төвүүдээр дамждаг. Энэ нь хэд хэдэн удаа алдагдсан боловч эзэмшигч нь хөтөч дээрх янз бүрийн наалт дээрх мэдээллийг урьдчилан бичиж тэмдэглэсний ачаар тэрээр хатуу дискээ зарим үйлчилгээний төвөөс буцааж авчирсан. Алхалтууд ул мөргүй өнгөрөөгүй, анхны хянагчийн самбар дээр гагнуурын олон ул мөр үлдсэн бөгөөд SMD элементийн дутагдал нь нүдээр мэдрэгдэж байсан (урагш харахад энэ бол энэ хөтөчийн хамгийн бага асуудал гэж би хэлэх болно).
Цагаан будаа. 1 HDD Quantum Fireball Plus KA 9,1GB
Бидний хийх ёстой хамгийн эхний зүйл бол донорын архиваас ажиллаж байгаа удирдлагын самбартай энэ хөтчийн эртний ихэр ахыг хайх явдал байв. Энэхүү эрэл хайгуул дууссаны дараа оношлогооны өргөн цар хүрээтэй арга хэмжээ авах боломжтой болсон. Хөдөлгүүрийн ороомог богино холболт байгаа эсэхийг шалгаж, богино холболт байхгүй эсэхийг шалгасны дараа бид самбарыг донорын хөтөчөөс өвчтөний хөтөч рүү суулгана. Бид тэжээл өгч, босоо амны хэвийн эргэлдэх дууг сонсож, програм хангамжийг ачаалж тохируулгын шалгалтыг давж, хэдхэн секундын дараа хөтөч нь интерфэйсийн командуудад хариу өгөхөд бэлэн болсон гэж бүртгэдэг.
Цагаан будаа. 2 DRD DSC үзүүлэлт нь тушаал хүлээн авахад бэлэн байгааг илтгэнэ.
Бид програм хангамжийн модулиудын бүх хуулбарыг нөөцөлж авдаг. Бид програм хангамжийн модулиудын бүрэн бүтэн байдлыг шалгадаг. Модулиудыг уншихад ямар ч асуудал байхгүй ч тайлангийн дүн шинжилгээ нь зарим нэг хачирхалтай зүйл байгааг харуулж байна.
Цагаан будаа. 3. Бүсийн хүснэгт.
Бид бүсийн хуваарилалтын хүснэгтэд анхаарлаа хандуулж, цилиндрийн тоо 13845 байгааг тэмдэглэж байна.
Цагаан будаа. 4 P жагсаалт (анхдагч жагсаалт - үйлдвэрлэлийн мөчлөгийн явцад гарсан согогуудын жагсаалт).
Бид хэтэрхий цөөн тооны согог, тэдгээрийн байршилд анхаарлаа хандуулдаг. Бид үйлдвэрийн согогийг нуух бүртгэлийн модулийг (60 цаг) хараад энэ нь хоосон бөгөөд нэг ч оруулга агуулаагүй болохыг олж мэдэв. Үүний үндсэн дээр бид өмнөх үйлчилгээний төвүүдийн аль нэгэнд хөтөчийн үйлчилгээний хэсэгт зарим заль мэх хийсэн байж магадгүй бөгөөд санамсаргүй эсвэл санаатайгаар гадаад модуль, эсвэл эх хувилбарт согогийн жагсаалтыг бичсэн байж магадгүй гэж бид таамаглаж болно. нэгийг нь цэвэрлэв. Энэ таамаглалыг шалгахын тулд бид Data Extractor-д "салбар тус бүрээр хуулбар үүсгэх" болон "виртуал орчуулагч үүсгэх" сонголтыг идэвхжүүлсэн даалгавар үүсгэнэ.
Цагаан будаа. 5 Ажлын параметрүүд.
Даалгаврыг үүсгэсний дараа бид хуваалтын хүснэгтийн 0 сектор дахь оруулгуудыг харна (LBA XNUMX)
Цагаан будаа. 6 Мастер ачаалах бичлэг болон хуваалтын хүснэгт.
Офсет 0x1BE үед нэг оруулга (16 байт) байна. Хуваалт дээрх файлын системийн төрөл нь NTFS бөгөөд 0x3F (63) секторын эхэнд офсет, хуваалтын хэмжээ 0x011309A3 (18) сектор юм.
Салбар засварлагч дээр LBA 63-г нээнэ үү.
Цагаан будаа. 7 NTFS ачаалах салбар
NTFS хуваалтын ачаалах хэсгийн мэдээллийн дагуу бид дараахь зүйлийг хэлж болно: эзлэхүүнд хүлээн зөвшөөрөгдсөн секторын хэмжээ 512 байт (0x0 (0) үг нь 0200x512B офсет дээр бичигдсэн), кластер дахь секторуудын тоо. 8 (0x0 байт нь 0x08D-ийн офсет дээр бичигдсэн), кластерын хэмжээ 512x8=4096 байт, анхны MFT бичлэг нь дискний эхнээс 6 секторын зайд байрладаг (291x519 дөрвөлжин үгийн офсет дээр 0x30 0) 00 00C 00 00 (00) эхний MFT кластерын дугаар Салбарын дугаарыг томъёогоор тооцоолно: Кластерын дугаар * кластер дахь салбаруудын тоо + хэсгийн эхэнд 0* 00+00= 786 офсет).
6-р салбар руу шилжье.
Зураг. 8
Гэхдээ энэ салбарт агуулагдаж буй өгөгдөл нь MFT бүртгэлээс тэс өөр юм. Хэдийгээр энэ нь алдаа дутагдлын жагсаалтаас болж буруу орчуулга гарч болзошгүйг харуулж байгаа боловч энэ нь энэ баримтыг нотлохгүй. Цаашид шалгахын тулд бид дискийг 10 салбартай харьцуулахад хоёр чиглэлд 000 сектороор унших болно. Тэгээд бид уншсан зүйлээсээ тогтмол хэллэгийг хайх болно.
Цагаан будаа. 9 Анхны MFT бичлэг
6-р салбарт бид анхны MFT бичлэгийг олно. Түүний байрлал нь тооцоолсон хэсгээс 291 салбараар ялгаатай бөгөөд дараа нь 551 бичлэгийн бүлэг (32-ээс 16 хүртэл) тасралтгүй дагаж мөрддөг. Ээлжийн хүснэгтэд 0-р салбарын байрлалыг оруулаад 15 салбараар урагшилъя.
Зураг. 10
16-р бичлэгийн байрлал нь 12-ийн зөрүүтэй байх ёстой, гэхдээ бид тэнд MFT бичлэгийн оронд тэгийг олдог. Ойролцоох газар ижил төстэй хайлт хийцгээе.
Цагаан будаа. 11 MFT оролт 0x00000011 (17)
17 бичлэгийн урттай 53 дээд амжилтаас эхлээд 646 секторын шилжилттэй MFT-ийн томоохон фрагмент илэрсэн. 17-р байрлалын хувьд ээлжийн хүснэгтэд +12 секторын ээлжийг тавь.
Орон зай дахь MFT фрагментийн байрлалыг тодорхойлсны дараа энэ нь санамсаргүй бүтэлгүйтэл, буруу офсет дээр MFT фрагментийг бүртгэх мэт харагдахгүй байна гэж бид дүгнэж болно. Буруу орчуулагчтай хувилбарыг батлагдсан гэж үзэж болно.
Шилжилтийн цэгүүдийг цаашид нутагшуулахын тулд бид хамгийн их шилжилтийг тогтооно. Үүнийг хийхийн тулд NTFS хуваалтын төгсгөлийн тэмдэглэгээ (ачаалах секторын хуулбар) хэр их шилжсэнийг бид тодорхойлно. Зураг 7-д 0x28-ийн офсет дээр дөрвөлсөн үг нь 0x00 00 00 00 01 13 09 A2 (18) секторын хуваалтын хэмжээсийн утга юм. Дискний эхнээс авсан хуваалтын офсетийг урт дээр нь нэмээд төгсгөлийн NTFS тэмдэглэгээний офсетийг авна 024 + 866= 18. Хүлээгдэж буйчлан ачаалах секторын шаардлагатай хуулбар байхгүй байна. Ойролцоох газар нутгийг хайхад сүүлийн MFT фрагменттэй харьцуулахад +024 секторын шилжилт нэмэгдэж байгааг олж мэдсэн.
Цагаан будаа. 12 NTFS ачаалах секторын хуулбар
Ачаалах секторын нөгөө хуулбарыг офсет 18 гэж бид үл тоомсорлодог, учир нь энэ нь бидний хуваалттай холбоогүй юм. Өмнөх үйл ажиллагаан дээр үндэслэн энэ хэсэгт 041 салбарыг нэвтрүүлж, мэдээлэл өргөжүүлсэн нь тогтоогдсон.
Бид дискийг бүрэн уншдаг бөгөөд энэ нь уншаагүй 34 салбар үлдээдэг. Харамсалтай нь эдгээр нь бүгд P-жагсаалтаас хасагдсан согог гэдгийг найдвартай баталгаажуулах боломжгүй боловч цаашдын дүн шинжилгээ хийхдээ тэдний байр суурийг анхаарч үзэхийг зөвлөж байна, учир нь зарим тохиолдолд шилжилтийн цэгүүдийг найдвартай тодорхойлох боломжтой болно. файлын биш харин салбарын нарийвчлал.
Цагаан будаа. 13 Диск унших статистик.
Бидний дараагийн ажил бол шилжилтийн ойролцоо байршлыг тогтоох явдал юм (тэдгээрийн хийсэн файлын нарийвчлал хүртэл). Үүнийг хийхийн тулд бид бүх MFT бичлэгийг сканнердаж, файлын байршлын хэлхээг (файлын фрагмент) үүсгэх болно.
Цагаан будаа. 14 Файл эсвэл тэдгээрийн фрагментуудын байршлын гинж.
Дараа нь файлаас файл руу шилжихдээ бид хүлээгдэж буй файлын толгойн оронд өөр өгөгдөл байх мөчийг хайж олох бөгөөд хүссэн толгой хэсэг нь тодорхой эерэг шилжилтээр олдох болно. Мөн бид ээлжийн цэгүүдийг боловсронгуй болгохдоо хүснэгтийг бөглөнө. Үүнийг бөглөсний үр дүн нь файлуудын 99 гаруй хувь нь гэмтэлгүй байх болно.
Цагаан будаа. 15 Хэрэглэгчийн файлуудын жагсаалт (энэ дэлгэцийн агшинг нийтлэх зөвшөөрлийг үйлчлүүлэгчээс авсан)
Хувь хүний файлуудын цэгийн шилжилтийг бий болгохын тулд та нэмэлт ажил хийж, хэрэв та файлын бүтцийг мэддэг бол үүнтэй холбоогүй өгөгдлийн агуулгыг олох боломжтой. Гэхдээ энэ ажилд эдийн засгийн хувьд боломжгүй байсан.
Жич Би энэ дискийг өмнө нь гарт нь байсан хамт олондоо хандаж хэлмээр байна. Төхөөрөмжийн програм хангамжтай ажиллахдаа болгоомжтой байгаарай, аливаа зүйлийг өөрчлөхөөс өмнө үйлчилгээний өгөгдлийг нөөцлөөрэй, хэрэв та үйлчлүүлэгчтэй ажлын талаар санал нийлэх боломжгүй бол асуудлыг зориудаар бүү хүндрүүлээрэй.
Эх сурвалж: www.habr.com