Била је 2019. година. Наша лабораторија је добила КУАНТУМ ФИРЕБАЛЛ Плус КА драјв капацитета 9.1ГБ, што није сасвим уобичајено за наше време. Према речима власника драјва, квар се догодио још 2004. године због неисправног напајања, што је са собом однело хард диск и друге компоненте рачунара. Затим су уследиле посете разним сервисима са покушајима да се диск поправи и врате подаци, који су били неуспешни. У неким случајевима су обећавали да ће бити јефтино, али никада нису решили проблем, у другим је било прескупо и клијент није желео да врати податке, али је на крају диск прошао кроз многе сервисне центре. Неколико пута је изгубљен, али захваљујући томе што је власник унапред водио рачуна о снимању информација са разних налепница на диску, успео је да обезбеди да му хард диск буде враћен из неких сервисних центара. Шетње нису прошле без трага, на оригиналној контролној плочи су остали вишеструки трагови лемљења, а визуелно се осетио и недостатак СМД елемената (гледајући унапред, рећи ћу да је то најмањи проблем овог драјва).
Пиринач. 1 ХДД Куантум Фиребалл Плус КА 9,1 ГБ
Прво што смо морали да урадимо је да потражимо у архиви донатора тако древног брата близанца овог драјва са функционалном контролном плочом. Када је ова потрага завршена, постало је могуће спровести опсежне дијагностичке мере. Након провере намотаја мотора на кратак спој и уверавања да нема кратког споја, постављамо плочу са донорског погона на диск за пацијенте. Укључујемо напајање и чујемо нормалан звук окретања осовине, пролазећи тест калибрације са учитавањем фирмвера, и након неколико секунди драјв јавља по регистрима да је спреман да одговори на команде са интерфејса.
Пиринач. 2 ДРД ДСЦ индикатора указују на спремност за пријем команди.
Правимо резервну копију свих копија модула фирмвера. Проверавамо интегритет модула фирмвера. Нема проблема са читањем модула, али анализа извештаја показује да постоје неке необичности.
Пиринач. 3. Зонска табела.
Обратите пажњу на табелу зонске расподеле и напомињемо да је број цилиндара 13845.
Пиринач. 4 П-лист (примарна листа – листа недостатака унетих током производног циклуса).
Скрећемо пажњу на премали број недостатака и њихову локацију. Погледамо фабрички дефект који скрива модул дневника (60х) и откријемо да је празан и да не садржи ниједан унос. На основу овога, можемо претпоставити да су у неком од претходних сервисних центара можда урађене неке манипулације са сервисном површином драјва, а случајно или намерно је написан страни модул или списак кварова у оригиналу један је очишћен. Да бисмо тестирали ову претпоставку, креирали смо задатак у Дата Ектрацтор-у са омогућеним опцијама „креирај копију сектор по сектор“ и „креирај виртуелни преводилац“.
Пиринач. 5 Параметри задатка.
Након креирања задатка, гледамо уносе у табели партиција у нултом сектору (ЛБА 0)
Пиринач. 6 Главни запис за покретање система и табела партиција.
На офсету 0к1БЕ налази се један унос (16 бајтова). Тип система датотека на партицији је НТФС, померен на почетак 0к3Ф (63) сектора, величина партиције 0к011309А3 (18) сектора.
У уређивачу сектора отворите ЛБА 63.
Пиринач. 7 НТФС сектор за покретање
Према информацијама у сектору за покретање НТФС партиције, можемо рећи следеће: величина сектора прихваћена у волумену је 512 бајтова (реч 0к0 (0) је уписана на офсету 0200к512Б), број сектора у кластеру је 8 (бајт 0к0 је написан на офсету 0к08Д), величина кластера је 512к8=4096 бајтова, први МФТ запис се налази на офсету од 6 сектора од почетка диска (на офсету од 291к519 четвороструке речи 0к30 0 00 00Ц 00 00 (00) број првог МФТ кластера Број сектора се израчунава по формули: број кластера * број сектора у кластеру + помак на почетак секције 0* 00+00= 786).
Пређимо на сектор 6.
Сл. КСНУМКС
Али подаци садржани у овом сектору потпуно се разликују од МФТ записа. Иако ово указује на могући нетачан превод због нетачне листе недостатака, то не доказује ову чињеницу. Да бисмо даље проверили, читаћемо диск за 10 сектора у оба смера у односу на 000 сектора. А онда ћемо тражити регуларне изразе у ономе што читамо.
Пиринач. 9 Први МФТ снимак
У сектору 6 налазимо први МФТ запис. Њена позиција се разликује од израчунате за 291 сектора, а затим у континуитету следи група од 551 записа (од 32 до 16). Хајде да унесемо позицију сектора 0 у табелу померања и идемо напред за 15 сектора.
Сл. КСНУМКС
Позиција записа бр. 16 би требало да буде на офсету 12, али тамо налазимо нуле уместо МФТ записа. Хајде да спроведемо сличну претрагу у околини.
Пиринач. 11 МФТ унос 0к00000011 (17)
Детектује се велики фрагмент МФТ, почевши од записа број 17 са дужином од 53 записа) са помаком од 646 сектора. За позицију 17, ставите смену од +12 сектора у табелу померања.
Након што смо утврдили положај МФТ фрагмената у простору, можемо закључити да ово не личи на случајни квар и снимање МФТ фрагмената на нетачним офсетима. Верзија са нетачним преводиоцем може се сматрати потврђеном.
Да бисмо даље локализовали тачке померања, поставићемо максимално могуће померање. Да бисмо то урадили, одређујемо колико је крајњи маркер НТФС партиције (копија сектора за покретање) померен. На слици 7, на офсету 0к28, куадворд је вредност величине партиције 0к00 00 00 00 01 13 09 А2 (18) сектора. Додајмо помак саме партиције од почетка диска на њену дужину и добијамо помак крајњег НТФС маркера 024 866 18 + 024= 866 63 18. Очекивано, није било потребне копије сектора за покретање система. Приликом претраживања околине пронађено је са повећањем померања од +024 сектора у односу на последњи МФТ фрагмент.
Пиринач. 12 Копија НТФС сектора за покретање
Занемарујемо другу копију сектора за покретање на офсету 18, пошто није повезана са нашом партицијом. На основу досадашњих активности установљено је да се у оквиру рубрике налазе укључења 041 сектора који су се „искочили” у емисији, што је проширило податке.
Изводимо потпуно читање диск јединице, што оставља 34 непрочитана сектора. Нажалост, немогуће је поуздано гарантовати да су сви они дефекти уклоњени са П-листе, али је у даљој анализи препоручљиво узети у обзир њихов положај, јер ће у неким случајевима бити могуће поуздано одредити тачке померања са тачност сектора, а не фајла.
Пиринач. 13 Статистика читања диска.
Наш следећи задатак ће бити да утврдимо приближне локације смена (до тачности датотеке у којој су се десиле). Да бисмо то урадили, скенираћемо све МФТ записе и изградити ланце локација датотека (фрагмената датотека).
Пиринач. 14 Ланци локација датотека или њихових фрагмената.
Затим, прелазећи из датотеке у датотеку, тражимо тренутак у којем ће бити других података уместо очекиваног заглавља датотеке, а жељено заглавље ће се наћи са одређеним позитивним померањем. И док прецизирамо тачке померања, попуњавамо табелу. Резултат његовог попуњавања биће преко 99% датотека без оштећења.
Пиринач. 15 Листа корисничких датотека (добила је сагласност од клијента за објављивање овог снимка екрана)
Да бисте успоставили померање тачака у појединачним датотекама, можете обавити додатни посао и, ако познајете структуру датотеке, пронаћи укључења података који нису повезани са њом. Али у овом задатку то није било економски изводљиво.
ПС Такође бих желео да се обратим својим колегама у чијим рукама је овај диск раније био. Будите пажљиви када радите са фирмвером уређаја и направите резервну копију сервисних података пре него што било шта промените и немојте намерно погоршавати проблем ако нисте били у могућности да се договорите са клијентом о раду.
Извор: ввв.хабр.цом