Kien l-2019. Il-laboratorju tagħna rċieva drive QUANTUM FIREBALL Plus KA b'kapaċità ta '9.1GB, li mhix pjuttost komuni għal żmienna. Skont is-sid tad-drajv, in-nuqqas seħħ lura fl-2004 minħabba provvista ta 'enerġija falluta, li ħa l-hard drive u komponenti oħra tal-PC magħha. Imbagħad kien hemm żjarat f'diversi servizzi b'tentattivi biex isewwi d-drajv u jirrestawraw id-dejta, li ma rnexxewx. F'xi każijiet huma wiegħdu li jkun irħis, iżda qatt ma solvew il-problema, f'oħrajn kienet għalja wisq u l-klijent ma riedx jirrestawra d-dejta, iżda fl-aħħar id-diska għaddiet minn bosta ċentri ta 'servizz. Intilfet diversi drabi, iżda grazzi għall-fatt li s-sid ħa ħsieb jirrekordja informazzjoni minn diversi stikers fuq id-drive bil-quddiem, irnexxielu jiżgura li l-hard drive tiegħu jiġi rritornat minn xi ċentri ta’ servizz. Il-mixjiet ma għaddewx mingħajr traċċa, baqgħu traċċi multipli ta 'issaldjar fuq il-bord oriġinali tal-kontrollur, u n-nuqqas ta' elementi SMD inħass ukoll viżwalment (b'ħarsa 'l quddiem, jien ngħid li dan huwa l-inqas mill-problemi ta' dan is-sewqan).
Ross. 1 HDD Quantum Fireball Plus KA 9,1GB
L-ewwel ħaġa li kellna nagħmlu kienet infittxu fl-arkivju tad-donaturi għal tali ħu tewmin antik ta 'dan is-sewqan b'bord ta' kontrollur li jaħdem. Meta din it-tfittxija tlestiet, sar possibbli li jitwettqu miżuri dijanjostiċi estensivi. Wara li ċċekkja l-koljaturi tal-mutur għal ċirkwit qasir u niżguraw li ma jkunx hemm ċirkwit qasir, aħna ninstallaw il-bord mid-drajv tad-donatur sad-drive tal-pazjent. Aħna napplikaw il-qawwa u nisimgħu l-ħoss normali tax-xaft li jdur, li jgħaddi minn test ta 'kalibrazzjoni bit-tagħbija tal-firmware, u wara ftit sekondi s-sewqan jirrapporta mir-reġistri li huwa lest biex jirrispondi għall-kmandi mill-interface.
Ross. 2 L-indikaturi DRD DSC jindikaw li huma lesti li jirċievu kmandi.
Aħna nappoġġjaw il-kopji kollha tal-moduli tal-firmware. Aħna niċċekkjaw l-integrità tal-moduli tal-firmware. M'hemm l-ebda problemi bil-moduli tal-qari, iżda l-analiżi tar-rapporti turi li hemm xi oddities.
Ross. 3. Tabella taż-żona.
Aħna nagħtu attenzjoni lit-tabella tad-distribuzzjoni żonali u ninnota li n-numru ta 'ċilindri huwa 13845.
Ross. 4 Lista P (lista primarja – lista ta' difetti introdotti matul iċ-ċiklu tal-produzzjoni).
Niġbed l-attenzjoni għan-numru żgħir wisq ta 'difetti u l-post tagħhom. Inħarsu lejn il-modulu tal-log tal-ħabi tad-difetti tal-fabbrika (60h) u nsibu li huwa vojt u ma fihx entrata waħda. Abbażi ta’ dan, nistgħu nassumu li f’wieħed miċ-ċentri tas-servizz preċedenti, setgħu saru xi manipulazzjonijiet fiż-żona tas-servizz tad-drajv, u aċċidentalment jew intenzjonalment inkiteb modulu barrani, jew il-lista ta’ difetti fl-oriġinal wieħed ġie kklerjat. Biex tittestja din is-suppożizzjoni, noħolqu kompitu f'Data Extractor bl-għażliet "oħloq kopja settur b'settur" u "toħloq traduttur virtwali" attivati.
Ross. 5 Parametri tal-kompitu.
Wara li ħoloq il-kompitu, inħarsu lejn l-entrati fit-tabella tal-partizzjoni fis-settur żero (LBA 0)
Ross. 6 Master boot record u partition table.
Fl-offset 0x1BE hemm dħul wieħed (16 bytes). It-tip tas-sistema tal-fajls fuq il-partizzjoni huwa NTFS, ikkumpensat għall-bidu tas-setturi 0x3F (63), id-daqs tal-partizzjoni 0x011309A3 (18) setturi.
Fl-editur tas-settur, iftaħ LBA 63.
Ross. 7 Is-settur tal-boot NTFS
Skont l-informazzjoni fis-settur tal-boot tal-partizzjoni NTFS, nistgħu ngħidu dan li ġej: id-daqs tas-settur aċċettat fil-volum huwa 512 bytes (il-kelma 0x0 (0) hija miktuba f'offset 0200x512B), in-numru ta 'setturi fil-cluster huwa 8 (byte 0x0 huwa miktub f'offset 0x08D), id-daqs tal-cluster huwa 512x8=4096 bytes, l-ewwel rekord MFT jinsab f'offset ta' 6 setturi mill-bidu tad-diska (f'offset ta' 291x519 kelma quadruple 0x30 0 00 00 00 00C 00 0 (00) numru tal-ewwel cluster MFT In-numru tas-settur huwa kkalkulat bil-formula: Numru tal-cluster * numru ta 'setturi fil-cluster + offset għall-bidu tat-taqsima 00* 786+432= 786).
Ejja ngħaddu għas-settur 6.
Fig. 8
Iżda d-dejta li tinsab f'dan is-settur hija kompletament differenti mir-rekord tal-MFT. Għalkemm dan jindika traduzzjoni mhux korretta possibbli minħabba lista ta 'difetti mhux korretta, ma jipprovax dan il-fatt. Biex niċċekkjaw aktar, se naqraw id-diska minn 10 settur fiż-żewġ direzzjonijiet relattiva għal 000 settur. U mbagħad infittxu espressjonijiet regolari f’dak li naqraw.
Ross. 9 L-ewwel reġistrazzjoni MFT
Fis-settur 6 insibu l-ewwel rekord MFT. Il-pożizzjoni tagħha tvarja minn dik ikkalkulata minn 291 settur, u mbagħad grupp ta '551-il rekord (minn 32 sa 16) kontinwament isegwi. Ejja nidħlu fil-pożizzjoni tas-settur 0 fit-tabella tax-xift u nimxu 'l quddiem bi 15 settur.
Fig. 10
Il-pożizzjoni tar-rekord Nru 16 għandha tkun f'offset 12, iżda nsibu żerijiet hemm minflok ir-rekord MFT. Ejja nagħmlu tfittxija simili fiż-żona tal-madwar.
Ross. 11 Dħul MFT 0x00000011 (17)
Jinstab framment kbir ta 'MFT, li jibda mir-rekord numru 17 b'tul ta' 53 rekord) b'ċaqliq ta '646-il settur. Għall-pożizzjoni 17, poġġi shift ta '+12 settur fit-tabella shift.
Wara li ddeterminajna l-pożizzjoni tal-frammenti MFT fl-ispazju, nistgħu nikkonkludu li dan ma jidhirx qisu falliment każwali u reġistrazzjoni ta 'frammenti MFT f'offsets mhux korretti. Verżjoni bi traduttur inkorrett tista' titqies konfermata.
Biex nillokalizzaw aktar il-punti tal-bidla, se nissettjaw l-ispostament massimu possibbli. Biex tagħmel dan, aħna niddeterminaw kemm il-markatur tat-tmiem tal-partizzjoni NTFS (kopja tas-settur tal-boot) huwa mċaqlaq. Fil-Figura 7, f'offset 0x28, il-quadword hija l-valur tad-daqs tal-partizzjoni tas-setturi 0x00 00 00 00 01 13 09 A2 (18). Ejja nżidu l-offset tal-partizzjoni nnifisha mill-bidu tad-diska għat-tul tagħha, u nġibu l-offset tal-markatur NTFS tat-tmiem 024 866 18 + 024 = 866 63 18. Kif mistenni, il-kopja meħtieġa tas-settur tal-but ma kinitx hemm. Meta tfittix iż-żona tal-madwar, instab b'ċaqliq dejjem akbar ta '+024-il settur relattiv għall-aħħar framment MFT.
Ross. 12 Kopja tas-settur tal-boot NTFS
Aħna ninjoraw il-kopja l-oħra tas-settur tal-but f'offset 18, peress li mhix relatata mal-partizzjoni tagħna. Fuq il-bażi ta 'attivitajiet preċedenti, ġie stabbilit li fi ħdan it-taqsima hemm inklużjonijiet ta' 041 settur li "faċċaw" fix-xandira, li espandew id-dejta.
Aħna nwettqu qari sħiħ tas-sewqan, li jħalli 34 settur mhux moqri. Sfortunatament, huwa impossibbli li jiġi ggarantit b'mod affidabbli li kollha kemm huma huma difetti mneħħija mil-lista P, iżda f'analiżi ulterjuri huwa rakkomandabbli li titqies il-pożizzjoni tagħhom, peress li f'xi każijiet ikun possibbli li jiġu ddeterminati b'mod affidabbli l-punti ta 'bidla b' preċiżjoni tas-settur, u mhux il-fajl.
Ross. 13 Statistika tal-qari tad-disk.
Il-kompitu li jmiss tagħna se jkun li nistabbilixxu l-postijiet approssimattivi tax-xiftijiet (għall-eżattezza tal-fajl li seħħew fih). Biex tagħmel dan, se niskennjaw ir-rekords MFT kollha u nibnu ktajjen ta 'postijiet ta' fajls (frammenti ta 'fajls).
Ross. 14 Ktajjen tal-lok tal-fajls jew il-frammenti tagħhom.
Sussegwentement, nimxu minn fajl għal fajl, infittxu l-mument li fih se jkun hemm dejta oħra minflok il-header tal-fajl mistenni, u l-header mixtieq jinstab b'ċertu bidla pożittiva. U hekk kif nirfinaw il-punti tal-bidla, nimlew it-tabella. Ir-riżultat tal-mili se jkun aktar minn 99% tal-fajls mingħajr ħsara.
Ross. 15 Lista ta' fajls ta' l-utenti (il-kunsens ġie riċevut mill-klijent biex tiġi ppubblikata din il-screenshot)
Biex tistabbilixxi bidliet fil-punti f'fajls individwali, tista 'twettaq xogħol addizzjonali u, jekk taf l-istruttura tal-fajl, issib inklużjonijiet ta' data li mhumiex relatati miegħu. Iżda f'dan il-kompitu ma kienx ekonomikament fattibbli.
PS Nixtieq ukoll nindirizza lill-kollegi tiegħi, li f'idejhom kienet qabel din id-diska. Jekk jogħġbok oqgħod attent meta taħdem mal-firmware tal-apparat u tagħmel backup tad-dejta tas-servizz qabel ma tibdel xi ħaġa, u tiggravax deliberatament il-problema jekk ma kontx kapaċi taqbel mal-klijent fuq ix-xogħol.
Sors: www.habr.com