یہ 2019 تھا۔ ہماری لیبارٹری کو 9.1GB کی گنجائش کے ساتھ کوانٹم فائربال پلس KA ڈرائیو ملی، جو ہمارے وقت کے لیے عام نہیں ہے۔ ڈرائیو کے مالک کے مطابق، 2004 میں ناکامی بجلی کی سپلائی میں ناکامی کی وجہ سے ہوئی، جس نے ہارڈ ڈرائیو اور پی سی کے دیگر اجزاء کو اپنے ساتھ لے لیا۔ اس کے بعد ڈرائیو کی مرمت اور ڈیٹا کو بحال کرنے کی کوششوں کے ساتھ مختلف سروسز کے دورے کیے گئے، جو کہ ناکام رہے۔ کچھ معاملات میں انہوں نے وعدہ کیا کہ یہ سستا ہو گا، لیکن انہوں نے کبھی بھی مسئلہ حل نہیں کیا، دوسروں میں یہ بہت مہنگا تھا اور کلائنٹ ڈیٹا کو بحال نہیں کرنا چاہتا تھا، لیکن آخر میں ڈسک بہت سے سروس مراکز سے گزر گئی. یہ کئی بار کھو گیا تھا، لیکن اس حقیقت کی بدولت کہ مالک نے ڈرائیو پر مختلف اسٹیکرز سے معلومات ریکارڈ کرنے کا پہلے سے خیال رکھا، وہ اس بات کو یقینی بنانے میں کامیاب ہو گیا کہ اس کی ہارڈ ڈرائیو کچھ سروس سینٹرز سے واپس کر دی گئی ہے۔ چہل قدمی بغیر کسی نشان کے نہیں گزری، اصل کنٹرولر بورڈ پر سولڈرنگ کے متعدد نشانات باقی رہے، اور SMD عناصر کی کمی بھی بصری طور پر محسوس کی گئی (آگے دیکھتے ہوئے، میں کہوں گا کہ یہ اس ڈرائیو کی سب سے کم پریشانی ہے)۔
چاول۔ 1 HDD کوانٹم فائر بال پلس KA 9,1GB
ہمیں سب سے پہلے کام کرنے والے کنٹرولر بورڈ کے ساتھ اس ڈرائیو کے ایسے قدیم جڑواں بھائی کے لیے ڈونر آرکائیو میں تلاش کرنا تھا۔ جب یہ تلاش مکمل ہو گئی تو وسیع تشخیصی اقدامات کو انجام دینا ممکن ہو گیا۔ شارٹ سرکٹ کے لیے موٹر وائنڈنگز کو چیک کرنے اور اس بات کو یقینی بنانے کے بعد کہ کوئی شارٹ سرکٹ نہیں ہے، ہم ڈونر ڈرائیو سے مریض کی ڈرائیو پر بورڈ لگاتے ہیں۔ ہم طاقت کا استعمال کرتے ہیں اور شافٹ کے گھومنے کی معمول کی آواز سنتے ہیں، فرم ویئر کو لوڈ کرنے کے ساتھ ایک کیلیبریشن ٹیسٹ پاس کرتے ہیں، اور چند سیکنڈ کے بعد ڈرائیو رجسٹر کے ذریعے رپورٹ کرتی ہے کہ یہ انٹرفیس سے آنے والے حکموں کا جواب دینے کے لیے تیار ہے۔
چاول۔ 2 DRD DSC اشارے کمانڈز وصول کرنے کی تیاری کی نشاندہی کرتے ہیں۔
ہم فرم ویئر ماڈیولز کی تمام کاپیاں بیک اپ کرتے ہیں۔ ہم فرم ویئر ماڈیولز کی سالمیت کو چیک کرتے ہیں۔ ماڈیولز کو پڑھنے میں کوئی مسئلہ نہیں ہے، لیکن رپورٹس کے تجزیے سے پتہ چلتا ہے کہ کچھ عجیب و غریب چیزیں ہیں۔
چاول۔ 3. زون ٹیبل۔
ہم زونل ڈسٹری بیوشن ٹیبل پر توجہ دیتے ہیں اور نوٹ کرتے ہیں کہ سلنڈروں کی تعداد 13845 ہے۔
چاول۔ 4 P-لسٹ (بنیادی فہرست – پیداواری دور کے دوران متعارف کرائے گئے نقائص کی فہرست)۔
ہم نقائص کی بہت کم تعداد اور ان کے مقام کی طرف توجہ مبذول کراتے ہیں۔ ہم فیکٹری ڈیفیکٹ کو چھپانے والے لاگ ماڈیول (60h) کو دیکھتے ہیں اور دیکھتے ہیں کہ یہ خالی ہے اور اس میں ایک بھی اندراج نہیں ہے۔ اس کی بنیاد پر، ہم یہ فرض کر سکتے ہیں کہ پچھلے سروس سینٹرز میں سے کسی ایک میں، ڈرائیو کے سروس ایریا کے ساتھ کچھ ہیرا پھیری کی گئی ہو گی، اور غلطی سے یا جان بوجھ کر کوئی غیر ملکی ماڈیول لکھا گیا ہو، یا اصل میں نقائص کی فہرست لکھی گئی ہو۔ ایک کو صاف کیا گیا تھا. اس مفروضے کو جانچنے کے لیے، ہم ڈیٹا ایکسٹریکٹر میں ایک ٹاسک بناتے ہیں جس میں "سیکٹر بہ سیکٹر کاپی بنائیں" اور "ورچوئل ٹرانسلیٹر تخلیق کریں" کے اختیارات فعال ہیں۔
چاول۔ 5 ٹاسک پیرامیٹرز۔
ٹاسک بنانے کے بعد، ہم سیکٹر صفر (LBA 0) میں پارٹیشن ٹیبل میں اندراجات کو دیکھتے ہیں۔
چاول۔ 6 ماسٹر بوٹ ریکارڈ اور پارٹیشن ٹیبل۔
آفسیٹ 0x1BE پر ایک ہی اندراج ہے (16 بائٹس)۔ پارٹیشن پر فائل سسٹم کی قسم NTFS ہے، جو 0x3F (63) سیکٹرز، پارٹیشن سائز 0x011309A3 (18) سیکٹرز کے شروع میں آف سیٹ ہے۔
سیکٹر ایڈیٹر میں، LBA 63 کھولیں۔
چاول۔ 7 NTFS بوٹ سیکٹر
NTFS پارٹیشن کے بوٹ سیکٹر کی معلومات کے مطابق، ہم درج ذیل کہہ سکتے ہیں: حجم میں قبول شدہ سیکٹر کا سائز 512 بائٹس ہے (لفظ 0x0 (0) آفسیٹ 0200x512B پر لکھا گیا ہے)، کلسٹر میں سیکٹرز کی تعداد 8 (بائٹ 0x0 آفسیٹ 0x08D پر لکھا جاتا ہے)، کلسٹر کا سائز 512x8=4096 بائٹس ہے، پہلا MFT ریکارڈ ڈسک کے آغاز سے 6 سیکٹرز کے آفسیٹ پر واقع ہے (291x519 چوگنی لفظ کے آفسیٹ پر 0x30 0 00 پہلے MFT کلسٹر کا 00 00C 00 00 (0) نمبر۔ سیکٹر نمبر کا حساب اس فارمولے سے کیا جاتا ہے: کلسٹر نمبر * کلسٹر میں سیکٹرز کی تعداد + سیکشن 00* 00+786= 432 کے آغاز تک آفسیٹ۔
آئیے سیکٹر 6 کی طرف چلتے ہیں۔
انجیر 8
لیکن اس شعبے میں موجود ڈیٹا MFT ریکارڈ سے بالکل مختلف ہے۔ اگرچہ یہ غلط عیب کی فہرست کی وجہ سے ممکنہ غلط ترجمہ کی نشاندہی کرتا ہے، لیکن یہ اس حقیقت کو ثابت نہیں کرتا۔ مزید جانچنے کے لیے، ہم ڈسک کو 10 شعبوں کے مقابلے میں دونوں سمتوں میں 000 سیکٹرز سے پڑھیں گے۔ اور پھر ہم جو کچھ پڑھتے ہیں اس میں ہم ریگولر ایکسپریشنز تلاش کریں گے۔
چاول۔ 9 پہلی MFT ریکارڈنگ
سیکٹر 6 میں ہمیں پہلا MFT ریکارڈ ملتا ہے۔ اس کی پوزیشن 291 شعبوں کے حساب سے ایک سے مختلف ہے، اور پھر 551 ریکارڈوں کا ایک گروپ (32 سے 16 تک) مسلسل اس کی پیروی کرتا ہے۔ آئیے شفٹ ٹیبل میں سیکٹر 0 کی پوزیشن درج کریں اور 15 سیکٹرز کے ذریعے آگے بڑھیں۔
انجیر 10
ریکارڈ نمبر 16 کی پوزیشن آفسیٹ 12 پر ہونی چاہیے، لیکن ہمیں وہاں MFT ریکارڈ کی بجائے صفر ملتا ہے۔ آئیے آس پاس کے علاقے میں بھی اسی طرح کی تلاشی لیتے ہیں۔
چاول۔ 11 MFT اندراج 0x00000011 (17)
MFT کے ایک بڑے ٹکڑے کا پتہ چلا ہے، جس کا آغاز ریکارڈ نمبر 17 سے ہوتا ہے جس کی لمبائی 53 ریکارڈ ہے) 646 سیکٹرز کی شفٹ کے ساتھ۔ پوزیشن 17 کے لیے، شفٹ ٹیبل میں +12 سیکٹرز کی شفٹ رکھیں۔
خلا میں MFT کے ٹکڑوں کی پوزیشن کا تعین کرنے کے بعد، ہم یہ نتیجہ اخذ کر سکتے ہیں کہ یہ غلط آفسیٹس پر MFT کے ٹکڑوں کی بے ترتیب ناکامی اور ریکارڈنگ کی طرح نہیں لگتا ہے۔ غلط مترجم والا ورژن تصدیق شدہ سمجھا جا سکتا ہے۔
شفٹ پوائنٹس کو مزید لوکلائز کرنے کے لیے، ہم زیادہ سے زیادہ ممکنہ نقل مکانی طے کریں گے۔ ایسا کرنے کے لیے، ہم اس بات کا تعین کرتے ہیں کہ NTFS پارٹیشن (بوٹ سیکٹر کی کاپی) کا آخری مارکر کتنا شفٹ ہوا ہے۔ شکل 7 میں، آفسیٹ 0x28 پر، کواڈ ورڈ 0x00 00 00 00 01 13 09 A2 (18) سیکٹرز کی پارٹیشن سائز ویلیو ہے۔ آئیے ڈسک کے شروع سے ہی اس کی لمبائی میں پارٹیشن کے آفسیٹ کو شامل کرتے ہیں، اور ہمیں اختتامی NTFS مارکر 024 + 866= 18 کا آفسیٹ ملتا ہے۔ جیسا کہ توقع کی گئی تھی، بوٹ سیکٹر کی مطلوبہ کاپی وہاں نہیں تھی۔ آس پاس کے علاقے کو تلاش کرنے پر، یہ آخری MFT ٹکڑے کی نسبت +024 سیکٹرز کی بڑھتی ہوئی شفٹ کے ساتھ پایا گیا۔
چاول۔ NTFS بوٹ سیکٹر کی 12 کاپی
ہم آفسیٹ 18 پر بوٹ سیکٹر کی دوسری کاپی کو نظر انداز کرتے ہیں، کیونکہ یہ ہماری تقسیم سے متعلق نہیں ہے۔ پچھلی سرگرمیوں کی بنیاد پر، یہ قائم کیا گیا تھا کہ سیکشن کے اندر 041 شعبوں کی شمولیت ہے جو براڈکاسٹ میں "پاپ اپ" ہوئے، جس نے ڈیٹا کو بڑھایا۔
ہم ڈرائیو کا مکمل مطالعہ کرتے ہیں، جس میں 34 بغیر پڑھے ہوئے شعبے رہ جاتے ہیں۔ بدقسمتی سے، قابل اعتماد طریقے سے اس بات کی ضمانت دینا ناممکن ہے کہ یہ تمام نقائص P-لسٹ سے ہٹا دیے گئے ہیں، لیکن مزید تجزیہ میں ان کی پوزیشن کو مدنظر رکھنے کا مشورہ دیا جاتا ہے، کیونکہ بعض صورتوں میں قابل اعتماد طریقے سے شفٹ پوائنٹس کا تعین کرنا ممکن ہوگا۔ سیکٹر کی درستگی، فائل کی نہیں۔
چاول۔ 13 ڈسک پڑھنے کے اعدادوشمار۔
ہمارا اگلا کام شفٹوں کے تخمینی مقامات کا تعین کرنا ہوگا (اس فائل کی درستگی تک جس میں وہ واقع ہوئے ہیں)۔ ایسا کرنے کے لیے، ہم تمام MFT ریکارڈز کو اسکین کریں گے اور فائل لوکیشنز (فائل کے ٹکڑے) کی زنجیریں بنائیں گے۔
چاول۔ فائلوں یا ان کے ٹکڑوں کے مقام کی 14 زنجیریں۔
اس کے بعد، فائل سے فائل میں منتقل ہوتے ہوئے، ہم اس لمحے کی تلاش کرتے ہیں جس میں متوقع فائل ہیڈر کے بجائے کوئی اور ڈیٹا ہوگا، اور مطلوبہ ہیڈر ایک خاص مثبت شفٹ کے ساتھ مل جائے گا۔ اور جیسے ہی ہم شفٹ پوائنٹس کو بہتر کرتے ہیں، ہم ٹیبل کو بھرتے ہیں۔ اسے بھرنے کا نتیجہ 99% سے زیادہ فائلوں کو بغیر کسی نقصان کے ہوگا۔
چاول۔ 15 صارف کی فائلوں کی فہرست (اس اسکرین شاٹ کو شائع کرنے کے لیے کلائنٹ سے رضامندی حاصل کی گئی تھی)
انفرادی فائلوں میں پوائنٹ شفٹ قائم کرنے کے لیے، آپ اضافی کام انجام دے سکتے ہیں اور، اگر آپ فائل کی ساخت جانتے ہیں، تو ایسے ڈیٹا کی شمولیت تلاش کریں جو اس سے متعلق نہیں ہیں۔ لیکن یہ کام معاشی طور پر ممکن نہیں تھا۔
PS میں اپنے ساتھیوں کو بھی مخاطب کرنا چاہوں گا، جن کے ہاتھ میں یہ ڈسک پہلے تھی۔ براہ کرم ڈیوائس کے فرم ویئر کے ساتھ کام کرتے وقت محتاط رہیں اور کسی بھی چیز کو تبدیل کرنے سے پہلے سروس ڈیٹا کا بیک اپ لیں، اور اگر آپ کام پر کلائنٹ سے اتفاق کرنے سے قاصر ہیں تو جان بوجھ کر مسئلہ کو نہ بڑھائیں۔
ماخذ: www.habr.com