มันคือปี 2019 ห้องปฏิบัติการของเราได้รับไดรฟ์ QUANTUM FIREBALL Plus KA ที่มีความจุ 9.1GB ซึ่งไม่ใช่เรื่องธรรมดาในยุคของเรา เจ้าของไดรฟ์ระบุว่า ความล้มเหลวดังกล่าวเกิดขึ้นในปี 2004 เนื่องจากแหล่งจ่ายไฟขัดข้อง ซึ่งนำฮาร์ดไดรฟ์และส่วนประกอบอื่น ๆ ของพีซีไปด้วย จากนั้นมีการเยี่ยมชมบริการต่างๆ โดยพยายามซ่อมแซมไดรฟ์และกู้คืนข้อมูล ซึ่งไม่สำเร็จ ในบางกรณีพวกเขาสัญญาว่าจะราคาถูก แต่ไม่เคยแก้ไขปัญหาเลย ในบางกรณีก็แพงเกินไปและลูกค้าไม่ต้องการกู้คืนข้อมูล แต่ในที่สุดดิสก์ก็ผ่านศูนย์บริการหลายแห่ง มันหายไปหลายครั้ง แต่ด้วยความจริงที่ว่าเจ้าของได้ดูแลการบันทึกข้อมูลจากสติกเกอร์ต่างๆ บนไดรฟ์ล่วงหน้า เขาจึงจัดการเพื่อให้แน่ใจว่าฮาร์ดไดรฟ์ของเขาถูกส่งคืนจากศูนย์บริการบางแห่ง การเดินไม่ได้ผ่านไปอย่างไร้ร่องรอย มีร่องรอยการบัดกรีหลายจุดยังคงอยู่บนบอร์ดคอนโทรลเลอร์ดั้งเดิมและยังรู้สึกถึงการขาดองค์ประกอบ SMD อีกด้วย (เมื่อมองไปข้างหน้าฉันจะบอกว่านี่เป็นปัญหาน้อยที่สุดของไดรฟ์นี้)
ข้าว. ฮาร์ดดิส 1 ตัว Quantum Fireball Plus KA 9,1GB
สิ่งแรกที่เราต้องทำคือค้นหาพี่ชายฝาแฝดโบราณของไดรฟ์นี้ในคลังผู้บริจาคที่มีบอร์ดควบคุมที่ใช้งานได้ เมื่อภารกิจนี้เสร็จสิ้น มันก็เป็นไปได้ที่จะดำเนินมาตรการวินิจฉัยที่กว้างขวาง หลังจากตรวจสอบขดลวดมอเตอร์ว่ามีไฟฟ้าลัดวงจรหรือไม่ และให้แน่ใจว่าไม่มีการลัดวงจร เราจะติดตั้งบอร์ดจากไดรฟ์ผู้บริจาคไปยังไดรฟ์ผู้ป่วย เราใช้กำลังและได้ยินเสียงปกติของเพลาที่หมุน ผ่านการทดสอบการปรับเทียบโดยโหลดเฟิร์มแวร์ และหลังจากนั้นไม่กี่วินาที ไดรฟ์จะรายงานโดยการลงทะเบียนว่าพร้อมที่จะตอบสนองต่อคำสั่งจากอินเทอร์เฟซ
ข้าว. 2 ตัวบ่งชี้ DRD DSC บ่งบอกถึงความพร้อมในการรับคำสั่ง
เราสำรองข้อมูลสำเนาของโมดูลเฟิร์มแวร์ทั้งหมด เราตรวจสอบความสมบูรณ์ของโมดูลเฟิร์มแวร์ ไม่มีปัญหาในการอ่านโมดูล แต่การวิเคราะห์รายงานแสดงให้เห็นว่ามีสิ่งแปลกประหลาดอยู่บ้าง
ข้าว. 3. โต๊ะโซน
เราให้ความสนใจกับตารางการกระจายโซนและโปรดทราบว่าจำนวนกระบอกสูบคือ 13845
ข้าว. 4 P-list (รายการหลัก – รายการข้อบกพร่องที่เกิดขึ้นในระหว่างรอบการผลิต)
เราให้ความสำคัญกับข้อบกพร่องและตำแหน่งของข้อบกพร่องจำนวนน้อยเกินไป เราดูโมดูลบันทึกการซ่อนข้อบกพร่องจากโรงงาน (60 ชม.) และพบว่าโมดูลว่างเปล่าและไม่มีรายการเดียว จากนี้เราสามารถสรุปได้ว่าในศูนย์บริการแห่งใดแห่งหนึ่งก่อนหน้านี้อาจมีการจัดการบางอย่างกับพื้นที่ให้บริการของไดรฟ์และมีการเขียนโมดูลต่างประเทศโดยไม่ได้ตั้งใจหรือโดยเจตนาหรือรายการข้อบกพร่องในต้นฉบับ หนึ่งถูกเคลียร์ เพื่อทดสอบสมมติฐานนี้ เราได้สร้างงานในตัวแยกข้อมูลโดยเปิดใช้งานตัวเลือก “สร้างสำเนาแบบเซกเตอร์ต่อเซกเตอร์” และ “สร้างนักแปลเสมือน”
ข้าว. 5 พารามิเตอร์งาน
เมื่อสร้างงานแล้วเราจะดูรายการในตารางพาร์ติชันในเซกเตอร์ศูนย์ (LBA 0)
ข้าว. 6 มาสเตอร์บูตเรคคอร์ดและตารางพาร์ติชัน
ที่ออฟเซ็ต 0x1BE จะมีรายการเดียว (16 ไบต์) ประเภทระบบไฟล์บนพาร์ติชันคือ NTFS ชดเชยจุดเริ่มต้นของเซกเตอร์ 0x3F (63) ขนาดพาร์ติชัน 0x011309A3 (18) เซกเตอร์
ในตัวแก้ไขเซกเตอร์ ให้เปิด LBA 63
ข้าว. 7 เซกเตอร์สำหรับบูต NTFS
ตามข้อมูลในเซกเตอร์สำหรับบูตของพาร์ติชัน NTFS เราสามารถพูดได้ดังต่อไปนี้: ขนาดเซกเตอร์ที่ยอมรับในไดรฟ์ข้อมูลคือ 512 ไบต์ (คำ 0x0 (0) เขียนที่ออฟเซ็ต 0200x512B) จำนวนเซกเตอร์ในคลัสเตอร์คือ 8 (ไบต์ 0x0 เขียนที่ออฟเซ็ต 0x08D) ขนาดคลัสเตอร์คือ 512x8=4096 ไบต์ บันทึก MFT แรกตั้งอยู่ที่ออฟเซ็ต 6 เซกเตอร์จากจุดเริ่มต้นของดิสก์ (ที่ออฟเซ็ต 291x519 คำสี่เท่า 0x30 0 00 00 00 00C 00 0 (00) หมายเลขของคลัสเตอร์ MFT แรก หมายเลขเซกเตอร์คำนวณโดยสูตร: หมายเลขคลัสเตอร์ * จำนวนเซกเตอร์ในคลัสเตอร์ + ออฟเซ็ตที่จุดเริ่มต้นของส่วน 00* 786+432= 786)
มาดูภาค 6 กันดีกว่า
มะเดื่อ 8
แต่ข้อมูลที่มีอยู่ในเซกเตอร์นี้แตกต่างอย่างสิ้นเชิงจากบันทึก MFT แม้ว่าสิ่งนี้จะบ่งชี้ว่ามีการแปลที่ไม่ถูกต้องเนื่องจากรายการข้อบกพร่องที่ไม่ถูกต้อง แต่ก็ไม่ได้พิสูจน์ข้อเท็จจริงข้อนี้ เพื่อตรวจสอบเพิ่มเติม เราจะอ่านดิสก์ได้ 10 เซกเตอร์ในทั้งสองทิศทางเทียบกับ 000 เซกเตอร์ จากนั้นเราจะค้นหานิพจน์ทั่วไปจากสิ่งที่เราอ่าน
ข้าว. 9 การบันทึก MFT ครั้งแรก
ในภาค 6 เราพบบันทึก MFT แรก ตำแหน่งจะแตกต่างจากส่วนที่คำนวณไว้ 291 ส่วน จากนั้นกลุ่ม 551 ระเบียน (ตั้งแต่ 32 ถึง 16) จะตามมาอย่างต่อเนื่อง เข้าสู่ตำแหน่งเซกเตอร์ 0 ลงในตารางกะแล้วก้าวไปข้างหน้าอีก 15 เซกเตอร์
มะเดื่อ 10
ตำแหน่งของบันทึกหมายเลข 16 ควรอยู่ที่ออฟเซ็ต 12 แต่เราพบเลขศูนย์ที่นั่นแทนที่จะเป็นบันทึก MFT ลองทำการค้นหาที่คล้ายกันในพื้นที่โดยรอบ
ข้าว. 11 รายการ MFT 0x00000011 (17)
ตรวจพบชิ้นส่วนขนาดใหญ่ของ MFT โดยเริ่มต้นด้วยบันทึกหมายเลข 17 ที่มีความยาว 53 บันทึก) โดยมีการเปลี่ยนแปลง 646 เซกเตอร์ สำหรับตำแหน่ง 17 ให้ใส่กะของภาค +12 ในตารางกะ
เมื่อพิจารณาตำแหน่งของชิ้นส่วน MFT ในอวกาศแล้ว เราสามารถสรุปได้ว่านี่ไม่ใช่ความล้มเหลวแบบสุ่มและการบันทึกชิ้นส่วน MFT ด้วยออฟเซ็ตที่ไม่ถูกต้อง สามารถพิจารณาเวอร์ชันที่มีนักแปลที่ไม่ถูกต้องได้
เพื่อระบุตำแหน่งจุดเปลี่ยนเพิ่มเติม เราจะตั้งค่าการกระจัดสูงสุดที่เป็นไปได้ ในการดำเนินการนี้ เราจะกำหนดจำนวนเครื่องหมายสิ้นสุดของพาร์ติชัน NTFS (สำเนาของเซกเตอร์สำหรับเริ่มระบบ) ที่ถูกเลื่อน ในรูปที่ 7 ที่ออฟเซ็ต 0x28 ควอดเวิร์ดคือค่าขนาดพาร์ติชันของเซกเตอร์ 0x00 00 00 00 01 13 09 A2 (18) มาเพิ่มออฟเซ็ตของพาร์ติชันจากจุดเริ่มต้นของดิสก์เป็นความยาวและเราจะได้ออฟเซ็ตของเครื่องหมาย NTFS จุดสิ้นสุด 024 + 866= 18 ตามที่คาดไว้ สำเนาที่จำเป็นของบูตเซกเตอร์ไม่อยู่ที่นั่น เมื่อค้นหาพื้นที่โดยรอบ พบว่ามีการเคลื่อนตัวเพิ่มขึ้น +024 เซกเตอร์ สัมพันธ์กับชิ้นส่วน MFT สุดท้าย
ข้าว. 12 สำเนาของบูตเซกเตอร์ NTFS
เราไม่สนใจสำเนาบูตเซกเตอร์อีกชุดที่ออฟเซ็ต 18 เนื่องจากไม่เกี่ยวข้องกับพาร์ติชันของเรา จากกิจกรรมก่อนหน้านี้ พบว่าภายในส่วนนี้มีการรวม 041 ส่วนที่ "ปรากฏขึ้น" ในการออกอากาศ ซึ่งขยายข้อมูล
เราทำการอ่านไดรฟ์แบบเต็ม ซึ่งจะเหลือ 34 ส่วนที่ยังไม่ได้อ่าน น่าเสียดายที่เป็นไปไม่ได้ที่จะรับประกันได้อย่างน่าเชื่อถือว่าข้อบกพร่องทั้งหมดถูกลบออกจากรายการ P แต่ในการวิเคราะห์เพิ่มเติม ขอแนะนำให้คำนึงถึงตำแหน่งของพวกเขาด้วย เนื่องจากในบางกรณีจะเป็นไปได้ที่จะกำหนดจุดเปลี่ยนได้อย่างน่าเชื่อถือด้วย ความถูกต้องของเซกเตอร์ ไม่ใช่ไฟล์
ข้าว. 13 สถิติการอ่านดิสก์
งานต่อไปของเราคือการกำหนดตำแหน่งโดยประมาณของการเปลี่ยนแปลง (ตามความถูกต้องของไฟล์ที่เกิดขึ้น) ในการดำเนินการนี้ เราจะสแกนบันทึก MFT ทั้งหมดและสร้างกลุ่มตำแหน่งไฟล์ (ส่วนของไฟล์)
ข้าว. 14 กลุ่มตำแหน่งของไฟล์หรือแฟรกเมนต์
ต่อไป การย้ายจากไฟล์หนึ่งไปอีกไฟล์หนึ่ง เราจะมองหาช่วงเวลาที่จะมีข้อมูลอื่นแทนที่จะเป็นส่วนหัวของไฟล์ที่คาดหวัง และส่วนหัวที่ต้องการจะพบกับการเปลี่ยนแปลงเชิงบวกบางอย่าง และเมื่อเราปรับแต่งจุดกะ เราก็กรอกตาราง ผลการเติมจะได้ไฟล์มากกว่า 99% โดยไม่มีความเสียหาย
ข้าว. 15 รายชื่อไฟล์ผู้ใช้ (ได้รับความยินยอมจากลูกค้าให้เผยแพร่ภาพหน้าจอนี้)
หากต้องการสร้างการเปลี่ยนแปลงจุดในแต่ละไฟล์ คุณสามารถทำงานเพิ่มเติมได้ และหากคุณทราบโครงสร้างของไฟล์ ให้ค้นหาการรวมข้อมูลที่ไม่เกี่ยวข้องกับไฟล์นั้น แต่ในงานนี้มันไม่สามารถทำได้ในเชิงเศรษฐกิจ
ป.ล. ฉันอยากจะพูดกับเพื่อนร่วมงานของฉันด้วยซึ่งก่อนหน้านี้แผ่นดิสก์นี้อยู่ในมือของเขา โปรดใช้ความระมัดระวังเมื่อทำงานกับเฟิร์มแวร์ของอุปกรณ์และสำรองข้อมูลบริการก่อนที่จะเปลี่ยนแปลงสิ่งใด และอย่าจงใจทำให้ปัญหารุนแรงขึ้นหากคุณไม่สามารถตกลงกับลูกค้าในการทำงานได้
ที่มา: will.com