அது 2019. எங்கள் ஆய்வகம் 9.1 ஜிபி திறன் கொண்ட குவாண்டம் ஃபயர்பால் பிளஸ் கே டிரைவைப் பெற்றது, இது நம் காலத்திற்கு மிகவும் பொதுவானதல்ல. டிரைவின் உரிமையாளரின் கூற்றுப்படி, 2004 இல் தோல்வியுற்ற மின்சாரம் காரணமாக தோல்வி ஏற்பட்டது, இது ஹார்ட் டிரைவ் மற்றும் பிற பிசி கூறுகளை எடுத்துச் சென்றது. டிரைவை சரிசெய்து தரவை மீட்டெடுக்கும் முயற்சிகளுடன் பல்வேறு சேவைகளுக்கான வருகைகள் தோல்வியடைந்தன. சில சந்தர்ப்பங்களில் இது மலிவானதாக இருக்கும் என்று அவர்கள் உறுதியளித்தனர், ஆனால் அவர்கள் சிக்கலை தீர்க்கவில்லை, மற்றவற்றில் இது மிகவும் விலை உயர்ந்தது மற்றும் வாடிக்கையாளர் தரவை மீட்டெடுக்க விரும்பவில்லை, ஆனால் இறுதியில் வட்டு பல சேவை மையங்கள் வழியாக சென்றது. இது பல முறை தொலைந்து போனது, ஆனால் டிரைவில் உள்ள பல்வேறு ஸ்டிக்கர்களில் இருந்து தகவல்களை பதிவு செய்வதை உரிமையாளர் முன்கூட்டியே கவனித்துக்கொண்டதால், சில சேவை மையங்களிலிருந்து தனது ஹார்ட் டிரைவ் திரும்பப் பெறப்படுவதை உறுதிசெய்தார். நடைகள் ஒரு தடயமும் இல்லாமல் கடந்து செல்லவில்லை, அசல் கட்டுப்பாட்டு பலகையில் சாலிடரிங் பல தடயங்கள் இருந்தன, மேலும் SMD கூறுகளின் பற்றாக்குறையும் பார்வைக்கு உணரப்பட்டது (முன்னோக்கிப் பார்க்கும்போது, இந்த இயக்ககத்தின் சிக்கல்களில் இது மிகக் குறைவு என்று நான் கூறுவேன்).
அரிசி. 1 HDD Quantum Fireball Plus KA 9,1GB
நாங்கள் செய்ய வேண்டிய முதல் விஷயம், இந்த டிரைவின் பழங்கால இரட்டை சகோதரரை நன்கொடையாளர் காப்பகத்தில் வேலை செய்யும் கட்டுப்பாட்டு பலகையுடன் தேடுவதுதான். இந்த தேடல் முடிந்ததும், விரிவான நோயறிதல் நடவடிக்கைகளை மேற்கொள்ள முடிந்தது. ஷார்ட் சர்க்யூட்டுக்கான மோட்டார் முறுக்குகளைச் சரிபார்த்து, ஷார்ட் சர்க்யூட் இல்லை என்பதை உறுதிசெய்த பிறகு, டோனர் டிரைவிலிருந்து நோயாளி டிரைவிற்கு பலகையை நிறுவுகிறோம். நாங்கள் சக்தியைப் பயன்படுத்துகிறோம் மற்றும் ஷாஃப்ட் சுழலும் சாதாரண ஒலியைக் கேட்கிறோம், ஃபார்ம்வேரை ஏற்றுவதன் மூலம் அளவுத்திருத்த சோதனையில் தேர்ச்சி பெறுகிறோம், சில வினாடிகளுக்குப் பிறகு, இடைமுகத்திலிருந்து வரும் கட்டளைகளுக்கு பதிலளிக்கத் தயாராக இருப்பதாக இயக்கி பதிவுகள் மூலம் தெரிவிக்கிறது.
அரிசி. 2 டிஆர்டி டிஎஸ்சி குறிகாட்டிகள் கட்டளைகளைப் பெறுவதற்கான தயார்நிலையைக் குறிக்கின்றன.
ஃபார்ம்வேர் தொகுதிகளின் அனைத்து நகல்களையும் நாங்கள் காப்புப் பிரதி எடுக்கிறோம். ஃபார்ம்வேர் தொகுதிகளின் ஒருமைப்பாட்டை நாங்கள் சரிபார்க்கிறோம். தொகுதிகளைப் படிப்பதில் எந்தப் பிரச்சினையும் இல்லை, ஆனால் அறிக்கைகளின் பகுப்பாய்வு சில முரண்பாடுகள் இருப்பதைக் காட்டுகிறது.
அரிசி. 3. மண்டல அட்டவணை.
மண்டல விநியோக அட்டவணைக்கு நாங்கள் கவனம் செலுத்துகிறோம் மற்றும் சிலிண்டர்களின் எண்ணிக்கை 13845 என்பதைக் கவனத்தில் கொள்கிறோம்.
அரிசி. 4 பி-பட்டியல் (முதன்மை பட்டியல் - உற்பத்தி சுழற்சியின் போது அறிமுகப்படுத்தப்பட்ட குறைபாடுகளின் பட்டியல்).
மிகக் குறைந்த எண்ணிக்கையிலான குறைபாடுகள் மற்றும் அவற்றின் இருப்பிடத்திற்கு நாங்கள் கவனத்தை ஈர்க்கிறோம். நாங்கள் தொழிற்சாலை குறைபாடு மறைக்கும் பதிவு தொகுதி (60h) மற்றும் அது காலியாக உள்ளது மற்றும் ஒரு நுழைவு இல்லை என்று கண்டறிய. இதன் அடிப்படையில், முந்தைய சேவை மையங்களில் ஒன்றில், இயக்ககத்தின் சேவைப் பகுதியில் சில கையாளுதல்கள் செய்யப்பட்டிருக்கலாம், மேலும் தற்செயலாக அல்லது வேண்டுமென்றே ஒரு வெளிநாட்டு தொகுதி எழுதப்பட்டது அல்லது அசலில் உள்ள குறைபாடுகளின் பட்டியல் ஒன்று அழிக்கப்பட்டது. இந்த அனுமானத்தை சோதிக்க, டேட்டா எக்ஸ்ட்ராக்டரில் “செக்டார் வாரியாக நகலை உருவாக்கு” மற்றும் “விர்ச்சுவல் மொழிபெயர்ப்பாளர் உருவாக்கு” விருப்பங்களை இயக்கி ஒரு பணியை உருவாக்குகிறோம்.
அரிசி. 5 பணி அளவுருக்கள்.
பணியை உருவாக்கிய பிறகு, பிரிவு பூஜ்ஜியத்தில் உள்ள பகிர்வு அட்டவணையில் உள்ளீடுகளைப் பார்க்கிறோம் (LBA 0)
அரிசி. 6 முதன்மை துவக்க பதிவு மற்றும் பகிர்வு அட்டவணை.
ஆஃப்செட் 0x1BE இல் ஒரு நுழைவு (16 பைட்டுகள்) உள்ளது. பகிர்வில் உள்ள கோப்பு முறைமை வகை NTFS ஆகும், இது 0x3F (63) செக்டர்கள், பகிர்வு அளவு 0x011309A3 (18) செக்டர்களின் தொடக்கத்திற்கு ஆஃப்செட் ஆகும்.
துறை எடிட்டரில், LBA 63ஐத் திறக்கவும்.
அரிசி. 7 NTFS துவக்கத் துறை
NTFS பகிர்வின் துவக்கத் துறையில் உள்ள தகவல்களின்படி, பின்வருவனவற்றைச் சொல்லலாம்: தொகுதியில் ஏற்றுக்கொள்ளப்பட்ட துறை அளவு 512 பைட்டுகள் (வார்த்தை 0x0 (0) ஆஃப்செட் 0200x512B இல் எழுதப்பட்டுள்ளது), கிளஸ்டரில் உள்ள பிரிவுகளின் எண்ணிக்கை 8 (பைட் 0x0 ஆஃப்செட் 0x08D இல் எழுதப்பட்டுள்ளது), கிளஸ்டர் அளவு 512x8=4096 பைட்டுகள், முதல் MFT பதிவு வட்டின் தொடக்கத்திலிருந்து 6 பிரிவுகளின் ஆஃப்செட்டில் அமைந்துள்ளது (291x519 நான்கு மடங்கு வார்த்தை 0x30 0 இன் ஆஃப்செட்டில் முதல் MFT கிளஸ்டரின் 00 00C 00 00 (00) எண். பிரிவு எண் சூத்திரத்தால் கணக்கிடப்படுகிறது: கிளஸ்டர் எண் * கிளஸ்டரில் உள்ள பிரிவுகளின் எண்ணிக்கை + பிரிவின் தொடக்கத்திற்கு ஆஃப்செட் 0* 00+00= 786).
பிரிவு 6 க்கு செல்லலாம்.
படம். 8
ஆனால் இந்தத் துறையில் உள்ள தரவு MFT பதிவிலிருந்து முற்றிலும் வேறுபட்டது. தவறான குறைபாடு பட்டியல் காரணமாக இது சாத்தியமான தவறான மொழிபெயர்ப்பைக் குறிக்கிறது என்றாலும், இது இந்த உண்மையை நிரூபிக்கவில்லை. மேலும் சரிபார்க்க, 10 துறைகளுடன் தொடர்புடைய இரு திசைகளிலும் 000 பிரிவுகளால் வட்டைப் படிப்போம். பின்னர் நாம் வாசிப்பதில் வழக்கமான வெளிப்பாடுகளைத் தேடுவோம்.
அரிசி. 9 முதல் MFT பதிவு
பிரிவு 6 இல் முதல் MFT பதிவைக் காண்கிறோம். அதன் நிலை 291 பிரிவுகளால் கணக்கிடப்பட்ட ஒன்றிலிருந்து வேறுபடுகிறது, பின்னர் 551 பதிவுகளின் குழு (32 முதல் 16 வரை) தொடர்ந்து பின்பற்றப்படுகிறது. பிரிவு 0 இன் நிலையை ஷிப்ட் அட்டவணையில் உள்ளிட்டு 15 பிரிவுகளால் முன்னேறுவோம்.
படம். 10
பதிவு எண். 16 இன் நிலை 12 ஆஃப்செட்டில் இருக்க வேண்டும், ஆனால் MFT பதிவுக்குப் பதிலாக பூஜ்ஜியங்களைக் காண்கிறோம். சுற்றுவட்டாரப் பகுதியிலும் இதேபோல் தேடுதல் நடத்துவோம்.
அரிசி. 11 MFT நுழைவு 0x00000011 (17)
MFT இன் ஒரு பெரிய பகுதி கண்டறியப்பட்டது, 17 பதிவுகள் கொண்ட பதிவு எண் 53 இல் தொடங்கி 646 பிரிவுகளின் மாற்றத்துடன். 17 நிலைக்கு, ஷிப்ட் டேபிளில் +12 பிரிவுகளின் ஷிப்ட்டை வைக்கவும்.
விண்வெளியில் MFT துண்டுகளின் நிலையை தீர்மானித்த பிறகு, இது ஒரு சீரற்ற தோல்வி மற்றும் தவறான ஆஃப்செட்களில் MFT துண்டுகளை பதிவு செய்வது போல் இல்லை என்று நாம் முடிவு செய்யலாம். தவறான மொழிபெயர்ப்பாளரைக் கொண்ட பதிப்பு உறுதிப்படுத்தப்பட்டதாகக் கருதலாம்.
ஷிப்ட் புள்ளிகளை மேலும் உள்ளூர்மயமாக்க, அதிகபட்ச இடப்பெயர்ச்சியை அமைப்போம். இதைச் செய்ய, NTFS பகிர்வின் இறுதி மார்க்கர் (துவக்கத் துறையின் நகல்) எவ்வளவு மாற்றப்படுகிறது என்பதை நாங்கள் தீர்மானிக்கிறோம். படம் 7 இல், ஆஃப்செட் 0x28 இல், quadword என்பது 0x00 00 00 00 01 13 09 A2 (18) பிரிவுகளின் பகிர்வு அளவு மதிப்பாகும். பகிர்வின் ஆஃப்செட்டை வட்டின் தொடக்கத்தில் இருந்து அதன் நீளத்திற்குச் சேர்ப்போம், மேலும் NTFS மார்க்கர் 024 + 866= 18 இன் ஆஃப்செட்டைப் பெறுவோம். எதிர்பார்த்தபடி, பூட் செக்டரின் தேவையான நகல் இல்லை. சுற்றியுள்ள பகுதியைத் தேடும் போது, கடைசி MFT துண்டுடன் ஒப்பிடும்போது +024 பிரிவுகளின் அதிகரிப்புடன் இது கண்டறியப்பட்டது.
அரிசி. 12 NTFS பூட் துறையின் நகல்
18 ஆஃப்செட்டில் பூட் செக்டரின் மற்ற நகலை நாங்கள் புறக்கணிக்கிறோம், ஏனெனில் இது எங்கள் பகிர்வுடன் தொடர்புடையது அல்ல. முந்தைய செயல்பாடுகளின் அடிப்படையில், பிரிவில் 041 பிரிவுகளின் சேர்க்கைகள் உள்ளன, அவை ஒளிபரப்பில் "பாப் அப்" செய்யப்பட்டுள்ளன, இது தரவை விரிவுபடுத்தியது.
34 படிக்காத பிரிவுகளை விட்டுச்செல்லும் இயக்ககத்தை முழுமையாகப் படிக்கிறோம். துரதிர்ஷ்டவசமாக, அவை அனைத்தும் பி-பட்டியலிலிருந்து நீக்கப்பட்ட குறைபாடுகள் என்று நம்பத்தகுந்த முறையில் உத்தரவாதம் அளிக்க முடியாது, ஆனால் மேலும் பகுப்பாய்வில் அவற்றின் நிலையை கணக்கில் எடுத்துக்கொள்வது நல்லது, ஏனெனில் சில சந்தர்ப்பங்களில் ஷிப்ட் புள்ளிகளை நம்பத்தகுந்த முறையில் தீர்மானிக்க முடியும். துறையின் துல்லியம், கோப்பு அல்ல.
அரிசி. 13 வட்டு வாசிப்பு புள்ளிவிவரங்கள்.
எங்கள் அடுத்த பணி, மாற்றங்களின் தோராயமான இடங்களை நிறுவுவதாகும் (அவை நிகழ்ந்த கோப்பின் துல்லியத்திற்கு). இதைச் செய்ய, நாங்கள் அனைத்து MFT பதிவுகளையும் ஸ்கேன் செய்து, கோப்பு இடங்களின் சங்கிலிகளை (கோப்பு துண்டுகள்) உருவாக்குவோம்.
அரிசி. கோப்புகள் அல்லது அவற்றின் துண்டுகளின் இருப்பிடத்தின் 14 சங்கிலிகள்.
அடுத்து, கோப்பிலிருந்து கோப்பிற்கு நகரும் போது, எதிர்பார்க்கப்படும் கோப்பு தலைப்புக்கு பதிலாக வேறு தரவு இருக்கும் தருணத்தை நாங்கள் தேடுகிறோம், மேலும் விரும்பிய தலைப்பு ஒரு குறிப்பிட்ட நேர்மறை மாற்றத்துடன் காணப்படும். ஷிப்ட் புள்ளிகளைச் செம்மைப்படுத்தும்போது, அட்டவணையை நிரப்புகிறோம். அதை நிரப்புவதன் விளைவாக 99% க்கும் அதிகமான கோப்புகள் சேதமடையாமல் இருக்கும்.
அரிசி. 15 பயனர் கோப்புகளின் பட்டியல் (இந்த ஸ்கிரீன்ஷாட்டை வெளியிட கிளையண்டிடம் இருந்து ஒப்புதல் பெறப்பட்டது)
தனிப்பட்ட கோப்புகளில் புள்ளி மாற்றங்களை நிறுவ, நீங்கள் கூடுதல் பணிகளைச் செய்யலாம் மற்றும் கோப்பின் கட்டமைப்பை நீங்கள் அறிந்தால், அதனுடன் தொடர்பில்லாத தரவுகளின் சேர்த்தல்களைக் கண்டறியவும். ஆனால் இந்த பணியில் அது பொருளாதார ரீதியாக சாத்தியமாகவில்லை.
PS முன்பு இந்த டிஸ்க் யாருடைய கைகளில் இருந்ததோ, என்னுடைய சக ஊழியர்களிடமும் பேச விரும்புகிறேன். சாதன ஃபார்ம்வேருடன் பணிபுரியும் போது கவனமாக இருங்கள் மற்றும் எதையும் மாற்றும் முன் சேவைத் தரவை காப்புப் பிரதி எடுக்கவும், மேலும் வேலையில் கிளையண்டுடன் உடன்பட முடியாவிட்டால் வேண்டுமென்றே சிக்கலை அதிகரிக்க வேண்டாம்.
ஆதாரம்: www.habr.com