Ilikuwa 2019. Maabara yetu ilipokea gari la QUANTUM FIREBALL Plus KA lenye uwezo wa 9.1GB, ambayo si ya kawaida kabisa kwa wakati wetu. Kwa mujibu wa mmiliki wa gari, kushindwa kulitokea nyuma mwaka wa 2004 kutokana na ugavi wa umeme ulioshindwa, ambao ulichukua gari ngumu na vipengele vingine vya PC nayo. Kisha kulikuwa na ziara za huduma mbalimbali na majaribio ya kutengeneza gari na kurejesha data, ambayo haikufanikiwa. Katika baadhi ya matukio waliahidi kuwa itakuwa nafuu, lakini hawakuwahi kutatua tatizo, kwa wengine ilikuwa ghali sana na mteja hakutaka kurejesha data, lakini mwisho disk ilipitia vituo vingi vya huduma. Ilipotea mara kadhaa, lakini kutokana na ukweli kwamba mmiliki alitunza kurekodi habari kutoka kwa stika mbalimbali kwenye gari mapema, aliweza kuhakikisha kuwa gari lake ngumu lilirudishwa kutoka kwa baadhi ya vituo vya huduma. Matembezi hayakupita bila ya kufuatilia, athari nyingi za soldering zilibakia kwenye bodi ya mtawala wa awali, na ukosefu wa vipengele vya SMD pia ulionekana (kuangalia mbele, nitasema kuwa hii ni ndogo zaidi ya matatizo ya gari hili).
Mchele. 1 HDD Quantum Fireball Plus KA 9,1GB
Jambo la kwanza tulilopaswa kufanya ni kutafuta katika kumbukumbu ya wafadhili kwa ndugu mapacha wa zamani wa gari hili na ubao wa kidhibiti unaofanya kazi. Jitihada hii ilipokamilika, iliwezekana kutekeleza hatua za kina za uchunguzi. Baada ya kuangalia windings motor kwa mzunguko mfupi na kuhakikisha kuwa hakuna mzunguko mfupi, sisi kufunga bodi kutoka gari wafadhili kwa gari mgonjwa. Tunatumia nguvu na kusikia sauti ya kawaida ya shimoni inayozunguka, kupitisha mtihani wa calibration na kupakia firmware, na baada ya sekunde chache gari linaripoti kwa rejista kwamba iko tayari kujibu amri kutoka kwa interface.
Mchele. Viashirio 2 vya DRD DSC vinaonyesha utayari wa kupokea amri.
Tunahifadhi nakala zote za moduli za firmware. Tunaangalia uaminifu wa moduli za firmware. Hakuna matatizo na moduli za kusoma, lakini uchambuzi wa ripoti unaonyesha kuwa kuna baadhi ya oddities.
Mchele. 3. Jedwali la eneo.
Tunazingatia meza ya usambazaji wa kanda na kumbuka kuwa idadi ya silinda ni 13845.
Mchele. 4 P-orodha (orodha ya msingi - orodha ya kasoro iliyoanzishwa wakati wa mzunguko wa uzalishaji).
Tunatoa tahadhari kwa idadi ndogo sana ya kasoro na eneo lao. Tunaangalia moduli ya logi ya kasoro ya kiwanda (60h) na kupata kwamba ni tupu na haina ingizo moja. Kwa msingi wa hii, tunaweza kudhani kuwa katika moja ya vituo vya huduma vya zamani, udanganyifu unaweza kufanywa na eneo la huduma ya gari, na kwa bahati mbaya au kwa makusudi moduli ya kigeni iliandikwa, au orodha ya kasoro katika asili. moja ilisafishwa. Ili kujaribu dhana hii, tunaunda kazi katika Kichujio cha Data huku chaguo za "kuunda nakala ya sekta kwa sekta" na "unda mtafsiri pepe" zikiwashwa.
Mchele. 5 Vigezo vya kazi.
Baada ya kuunda kazi hiyo, tunaangalia maingizo kwenye jedwali la kizigeu katika sifuri ya sekta (LBA 0)
Mchele. 6 Rekodi kuu ya kuwasha na jedwali la kizigeu.
Kwa kukabiliana na 0x1BE kuna kiingilio kimoja (baiti 16). Aina ya mfumo wa faili kwenye kizigeu ni NTFS, inakabiliwa na mwanzo wa sekta 0x3F (63), ukubwa wa sehemu 0x011309A3 (18) sekta.
Katika kihariri cha sekta, fungua LBA 63.
Mchele. 7 sekta ya buti ya NTFS
Kulingana na habari katika sekta ya boot ya kizigeu cha NTFS, tunaweza kusema yafuatayo: saizi ya sekta iliyokubaliwa kwa kiasi ni ka 512 (neno 0x0 (0) limeandikwa kwa kukabiliana 0200x512B), idadi ya sekta kwenye nguzo ni. 8 (byte 0x0 imeandikwa kwa kukabiliana na 0x08D), ukubwa wa nguzo ni 512x8 = 4096 byte, rekodi ya kwanza ya MFT iko katika kukabiliana na sekta 6 tangu mwanzo wa diski (kwa kukabiliana na 291x519 neno quadruple 0x30 0 00 00C 00 00 (00) nambari ya nguzo ya kwanza ya MFT. Nambari ya sekta inakokotolewa na fomula: Nambari ya nguzo * idadi ya sekta katika nguzo + kukabiliana hadi mwanzo wa sehemu 0* 00+00= 786).
Wacha tuendelee kwenye sekta 6.
Mtini. Xnumx
Lakini data zilizomo katika sekta hii ni tofauti kabisa na rekodi ya MFT. Ingawa hii inaonyesha uwezekano wa tafsiri isiyo sahihi kutokana na orodha isiyo sahihi ya kasoro, haithibitishi ukweli huu. Ili kuangalia zaidi, tutasoma diski kwa sekta 10 katika pande zote mbili kuhusiana na sekta 000. Na kisha tutatafuta misemo ya kawaida katika kile tunachosoma.
Mchele. 9 ya kwanza ya kurekodi MFT
Katika sekta 6 tunapata rekodi ya kwanza ya MFT. Msimamo wake unatofautiana na moja iliyohesabiwa kwa sekta 291, na kisha kikundi cha rekodi 551 (kutoka 32 hadi 16) kinaendelea kufuata. Wacha tuingize nafasi ya sekta 0 kwenye jedwali la mabadiliko na kusonga mbele kwa sekta 15.
Mtini. Xnumx
Nafasi ya rekodi Nambari 16 inapaswa kuwa katika kukabiliana na 12, lakini tunapata zero huko badala ya rekodi ya MFT. Wacha tufanye utaftaji kama huo katika eneo linalozunguka.
Mchele. Ingizo la MFT 11 0x00000011 (17)
Sehemu kubwa ya MFT hugunduliwa, kuanzia na nambari ya rekodi 17 yenye urefu wa rekodi 53) na mabadiliko ya sekta 646. Kwa nafasi 17, weka zamu ya sekta +12 kwenye jedwali la zamu.
Baada ya kuamua nafasi ya vipande vya MFT kwenye nafasi, tunaweza kuhitimisha kuwa hii haionekani kama kutofaulu kwa nasibu na kurekodi kwa vipande vya MFT kwa makosa yasiyo sahihi. Toleo lililo na mtafsiri asiye sahihi linaweza kuchukuliwa kuwa limethibitishwa.
Ili kubinafsisha zaidi alama za kuhama, tutaweka kiwango cha juu cha uhamishaji kinachowezekana. Ili kufanya hivyo, tunaamua ni kiasi gani alama ya mwisho ya kizigeu cha NTFS (nakala ya sekta ya boot) inabadilishwa. Katika Mchoro wa 7, katika kukabiliana na 0x28, neno la nne ni thamani ya ukubwa wa kizigeu cha sekta 0x00 00 00 00 01 13 09 A2 (18). Hebu tuongeze kukabiliana na kizigeu yenyewe tangu mwanzo wa diski hadi urefu wake, na tunapata kukabiliana na mwisho wa alama ya NTFS 024 + 866= 18. Kama inavyotarajiwa, nakala inayohitajika ya sekta ya boot haikuwepo. Wakati wa kutafuta eneo linalozunguka, ilipatikana na mabadiliko yanayoongezeka ya sekta za +024 kuhusiana na kipande cha mwisho cha MFT.
Mchele. 12 Nakala ya sekta ya boot ya NTFS
Tunapuuza nakala nyingine ya sekta ya buti kwa kulipa 18, kwa kuwa haihusiani na kizigeu chetu. Kulingana na shughuli za awali, ilianzishwa kuwa ndani ya sehemu hiyo kuna majumuisho ya sekta 041 ambazo "zilijitokeza" katika utangazaji, ambazo zilipanua data.
Tunafanya usomaji kamili wa kiendeshi, ambacho huacha sekta 34 ambazo hazijasomwa. Kwa bahati mbaya, haiwezekani kuhakikisha kuwa zote ni kasoro zilizoondolewa kwenye orodha ya P, lakini kwa uchambuzi zaidi inashauriwa kuzingatia msimamo wao, kwani katika hali zingine itawezekana kuamua kwa uhakika alama za kuhama na. usahihi wa sekta, na sio faili.
Mchele. 13 Takwimu za usomaji wa diski.
Kazi yetu inayofuata itakuwa kuanzisha maeneo ya takriban ya mabadiliko (kwa usahihi wa faili ambayo ilitokea). Ili kufanya hivyo, tutachambua rekodi zote za MFT na kujenga minyororo ya maeneo ya faili (vipande vya faili).
Mchele. Minyororo 14 ya eneo la faili au vipande vyake.
Ifuatayo, tukihama kutoka faili hadi faili, tunatafuta wakati ambapo kutakuwa na data nyingine badala ya kichwa cha faili kinachotarajiwa, na kichwa kinachohitajika kitapatikana kwa mabadiliko fulani mazuri. Na tunapoboresha alama za kuhama, tunajaza meza. Matokeo ya kujaza itakuwa zaidi ya 99% ya faili bila uharibifu.
Mchele. 15 Orodha ya faili za watumiaji (ridhaa ilipokelewa kutoka kwa mteja ili kuchapisha picha hii ya skrini)
Ili kuanzisha mabadiliko ya uhakika katika faili za kibinafsi, unaweza kufanya kazi ya ziada na, ikiwa unajua muundo wa faili, pata inclusions za data ambazo hazihusiani nayo. Lakini katika kazi hii haikuwezekana kiuchumi.
PS Pia ningependa kuhutubia wenzangu, ambao diski hii ilikuwa mikononi mwao hapo awali. Tafadhali kuwa mwangalifu unapofanya kazi na programu dhibiti ya kifaa na uhifadhi nakala ya data ya huduma kabla ya kubadilisha chochote, na usizidishe tatizo kimakusudi ikiwa hukuweza kukubaliana na mteja kwenye kazi.
Chanzo: mapenzi.com