Éta 2019. Laboratorium kami nampi drive QUANTUM FIREBALL Plus KA kalayan kapasitas 9.1GB, anu henteu umum pikeun jaman ayeuna. Nurutkeun nu boga drive, kagagalan lumangsung deui dina 2004 alatan catu daya gagal, nu nyandak hard drive jeung komponén PC lianna. Teras aya kunjungan ka sababaraha jasa kalayan usaha ngalereskeun drive sareng malikkeun data, anu gagal. Dina sababaraha kasus aranjeunna ngajangjikeun yén éta bakal murah, tapi aranjeunna henteu pernah ngarengsekeun masalahna, dina batur éta mahal teuing sareng klien henteu hoyong mulangkeun data, tapi tungtungna disk ngalangkungan seueur pusat jasa. Ieu leungit sababaraha kali, tapi hatur nuhun kana kanyataan yén juragan ngurus ngarekam informasi ti sagala rupa stiker dina drive sateuacanna, anjeunna junun mastikeun yén hard drive na geus balik ti sababaraha puseur layanan. The walks teu lulus tanpa renik a, sababaraha ngambah soldering tetep dina dewan controller aslina, sarta kurangna elemen SMD ieu ogé visually dirasakeun (nempo payun, abdi bakal disebutkeun yen ieu téh sahenteuna tina masalah drive ieu).
Sangu. 1 HDD Quantum Fireball Ditambah KA 9,1GB
Hal kahiji anu kedah urang laksanakeun nyaéta milarian dina arsip donor pikeun lanceukna kembar kuna tina drive ieu kalayan papan pengontrol anu tiasa dianggo. Nalika quest ieu réngsé, éta janten mungkin pikeun ngalaksanakeun ukuran diagnostik éksténsif. Saatos mariksa windings motor pikeun sirkuit pondok tur pastikeun yén euweuh sirkuit pondok, urang install dewan tina drive donor ka drive sabar. Urang nerapkeun kakuatan sarta ngadéngé sora normal tina aci spinning up, lulus tes calibration kalawan loading firmware, sarta sanggeus sababaraha detik laporan drive ku registers yén éta téh siap ngabales paréntah ti panganteur dina.
Sangu. 2 Indikator DRD DSC nunjukkeun kasiapan pikeun nampa paréntah.
Urang nyadangkeun sadaya salinan modul firmware. Urang pariksa integritas modul firmware. Henteu aya masalah sareng modul bacaan, tapi analisa laporan nunjukkeun yén aya sababaraha kaanehan.
Sangu. 3. Méja Zona.
Kami nengetan tabel distribusi zonal sareng dicatet yén jumlah silinder nyaéta 13845.
Sangu. 4 P-list (daptar primér - daptar defects diwanohkeun salila siklus produksi).
Urang ngagambar perhatian ka jumlah leutik teuing defects jeung lokasi maranéhanana. Urang tingali dina pabrik cacad nyumput modul log (60h) sarta manggihan yén éta kosong tur teu ngandung hiji éntri tunggal. Dumasar kana ieu, urang tiasa nganggap yén di salah sahiji pusat jasa anu saacanna, sababaraha manipulasi tiasa dilakukeun sareng daérah jasa drive, sareng ngahaja atanapi ngahaja ditulis modul asing, atanapi daptar cacad dina aslina. hiji diberesihan. Pikeun nguji asumsi ieu, urang nyieun tugas dina Data Extractor kalawan pilihan "nyieun sector-demi-sektor salinan" jeung "nyieun penerjemah virtual".
Sangu. 5 Parameter tugas.
Saatos nyiptakeun tugas, urang ningali éntri dina tabel partisi dina séktor enol (LBA 0)
Sangu. 6 Master catetan boot jeung tabel partisi.
Dina offset 0x1BE aya éntri tunggal (16 bait). Jinis sistem file dina partisi nyaéta NTFS, offset ka awal séktor 0x3F (63), ukuran partisi 0x011309A3 (18) séktor.
Dina éditor séktor, buka LBA 63.
Sangu. 7 séktor boot NTFS
Numutkeun inpormasi dina séktor boot tina partisi NTFS, urang tiasa nyarios kieu: ukuran séktor anu ditampi dina volume nyaéta 512 bait (kecap 0x0 (0) ditulis dina offset 0200x512B), jumlah séktor dina kluster nyaéta 8 (bait 0x0 ditulis dina offset 0x08D), ukuran klaster nyaéta 512x8 = 4096 bait, catetan MFT munggaran ayana dina offset 6 séktor ti mimiti disk (dina hiji offset 291x519 quadruple kecap 0x30 0 00 00 00 00C 00 0 (00) Jumlah klaster MFT munggaran. Jumlah sektor diitung ku rumus: Jumlah klaster * Jumlah séktor dina klaster + offset ka awal bagian 00 * 786 + 432 = 786).
Hayu urang ngaléngkah ka sektor 6.
Gbr. Xnumx
Tapi data anu dikandung dina sektor ieu sagemblengna béda ti catetan MFT. Sanaos ieu nunjukkeun kamungkinan tarjamahan anu salah kusabab daptar cacad anu salah, éta henteu ngabuktikeun kanyataan ieu. Pikeun pariksa salajengna, urang bakal maca disk ku 10 séktor dina duanana arah relatif ka 000 séktor. Teras urang bakal milarian ungkapan biasa dina naon anu urang baca.
Sangu. 9 Ngarékam MFT munggaran
Dina sektor 6 urang manggihan catetan MFT munggaran. Posisina béda ti anu diitung ku 291 séktor, teras sakelompok 551 rékaman (tina 32 dugi ka 16) terus-terusan nuturkeun. Hayu urang lebetkeun posisi sektor 0 kana tabel shift jeung maju ku 15 séktor.
Gbr. Xnumx
Posisi catetan No.. 16 kedah di offset 12, tapi urang manggihan nol aya tinimbang catetan MFT. Hayu urang ngalaksanakeun pilarian sarupa di wewengkon sabudeureun.
Sangu. 11 Éntri MFT 0x00000011 (17)
Sempalan ageung MFT dideteksi, dimimitian ku catetan nomer 17 kalayan panjang 53 rékaman) kalayan pergeseran 646 séktor. Pikeun posisi 17, nempatkeun shift +12 séktor dina tabel shift.
Saatos nangtukeun posisi fragmen MFT dina rohangan, urang tiasa nyimpulkeun yén éta henteu katingalina gagal acak sareng ngarékam fragmen MFT dina offset anu salah. Versi sareng penerjemah anu salah tiasa dianggap dikonfirmasi.
Jang meberkeun localize titik shift, urang bakal nangtukeun kapindahan maksimum mungkin. Jang ngalampahkeun ieu, urang nangtukeun sabaraha spidol tungtung partisi NTFS (salinan sektor boot) digeser. Dina Gambar 7, dina offset 0x28, quadword mangrupa nilai ukuran partisi 0x00 00 00 00 01 13 09 A2 (18) séktor. Hayu urang tambahkeun offset partisi sorangan ti mimiti disk ka panjang na, sarta kami meunang offset tungtung NTFS spidol 024 + 866 = 18. Saperti nu diharapkeun, salinan diperlukeun tina sektor boot teu aya. Nalika milarian daérah sakurilingna, éta kapanggih kalayan paningkatan +024 séktor relatif ka sempalan MFT anu terakhir.
Sangu. 12 Salinan séktor boot NTFS
Urang malire salinan séjén tina séktor boot di offset 18, sabab teu patali jeung partisi urang. Dumasar kana kagiatan samemehna, ditetepkeun yén dina bagian éta aya inklusi 041 séktor anu "muncul" dina siaran, anu ngalegaan data.
Urang ngalakukeun bacaan pinuh ku drive, anu nyésakeun 34 séktor anu henteu dibaca. Hanjakal, teu mungkin mun reliably ngajamin yén sakabéh éta téh defects dikaluarkeun tina P-list, tapi dina analisis salajengna eta disarankeun pikeun tumut kana akun posisi maranéhanana, sabab dina sababaraha kasus bakal mungkin mun reliably nangtukeun titik shift kalawan. hiji katepatan tina sektor, na teu file.
Sangu. 13 Statistik bacaan disk.
Tugas urang salajengna bakal netepkeun perkiraan lokasi shifts (kana katepatan file dimana aranjeunna lumangsung). Jang ngalampahkeun ieu, urang bakal nyeken sadaya rékaman MFT sareng ngawangun ranté lokasi file (fragmén file).
Sangu. 14 Ranté lokasi file atanapi fragmenna.
Salajengna, pindah ti file ka file, urang néangan momen nu bakal aya data sejenna tinimbang lulugu file ekspektasi, sarta lulugu nu dipikahoyong bakal kapanggih ku shift positif tangtu. Jeung salaku urang nyaring titik shift, urang eusian kaluar tabél. Hasil ngeusian éta bakal langkung ti 99% file tanpa karusakan.
Sangu. 15 Daptar file pamaké (idin nampi ti klien pikeun nyebarkeun screenshot ieu)
Pikeun netepkeun pergeseran titik dina file individu, anjeun tiasa ngalaksanakeun padamelan tambahan sareng, upami anjeun terang struktur file, panggihan inclusions data anu henteu aya hubunganana sareng éta. Tapi dina tugas ieu éta teu meujeuhna ékonomis.
PS Kuring ogé hoyong alamat kolega kuring, dina leungeun anu disc ieu saméméhna. Punten ati-ati nalika damel sareng firmware alat sareng nyadangkeun data jasa sateuacan ngarobih nanaon, sareng ulah ngahaja nganyenyerikeun masalah upami anjeun henteu tiasa satuju sareng klien dina padamelan éta.
sumber: www.habr.com