那是2019年。 我們的實驗室收到了容量為 9.1GB 的 QUANTUM FIREBALL Plus KA 驅動器,這在我們這個時代並不常見。 據硬碟所有者稱,故障發生在 2004 年,原因是電源故障,導致硬碟和其他 PC 組件一起損壞。 隨後又拜訪了各種服務機構,試圖修復驅動器並恢復數據,但都沒有成功。 在某些情況下,他們承諾會便宜,但他們從未解決問題,在其他情況下,它太貴,客戶不想恢復數據,但最終磁碟經過了許多服務中心。 它丟失了好幾次,但由於所有者提前記錄了硬碟上各種貼紙的信息,他設法確保他的硬碟從一些服務中心歸還。 走道並沒有無跡可尋,原來的控制板上還殘留著多處焊接痕跡,而且視覺上也感覺到了SMD元件的缺失(展望未來,我會說這是該驅動器的最少問題)。
米。 1 個硬碟量子火球 Plus KA 9,1GB
我們要做的第一件事就是在捐贈者檔案中搜尋該驅動器的一個古老的孿生兄弟,並帶有一個可用的控制器板。 當這個任務完成後,就可以進行廣泛的診斷措施。 檢查馬達繞組是否有短路並確保沒有短路後,我們將板從施主驅動器安裝到患者驅動器。 我們通電並聽到軸旋轉的正常聲音,透過載入韌體的校準測試,幾秒鐘後驅動器透過暫存器報告它已準備好響應來自介面的命令。
米。 2 DRD DSC 指示燈指示已準備好接收指令。
我們備份韌體模組的所有副本。 我們檢查韌體模組的完整性。 讀取模組沒有問題,但對報告的分析顯示存在一些奇怪的情況。
米。 3. 區域表。
我們關注分區分佈表,注意到汽缸數為13845。
米。 4 P-list(主要列表-生產週期中引入的缺陷列表)。
我們提請注意缺陷數量太少及其位置。 我們查看工廠缺陷隱藏日誌模組(60h),發現它是空的並且不包含任何條目。 基於此,我們可以假設,在先前的某個服務中心中,可能對磁碟機的服務區進行了一些操作,並且無意或有意地寫入了外部模組,或原始的缺陷清單已清除。 為了測試這個假設,我們在資料擷取器中建立一個任務,並啟用「建立逐扇區副本」和「建立虛擬轉換器」選項。
米。 5 任務參數。
建立任務後,我們查看分區表中零扇區 (LBA 0) 的條目
米。 6 主引導記錄和分區表。
在偏移 0x1BE 處有一個條目(16 位元組)。 分割區上的檔案系統類型為 NTFS,偏移量為 0x3F (63) 個磁區,分割區大小為 0x011309A3 (18) 個磁區。
在磁區編輯器中,開啟 LBA 63。
米。 7 NTFS開機磁區
根據NTFS分割區引導磁區中的信息,我們可以得到以下結論:磁碟區中接受的磁區大小為512位元組(字0x0(0)寫入偏移量0200x512B處),叢集中磁區的數量為8(位元組0x0寫入偏移量0x08D處),簇大小為512x8=4096字節,第一個MFT記錄位於距磁碟開頭偏移6個磁區處(偏移量為291x519四字0x30 0 00 00 00 00C 00 0 (00) 第一個 MFT 簇號,扇區號的計算公式為:簇號 * 簇內扇區數 + 到段開頭的偏移量 00* 786+432= 786)。
讓我們轉到扇區 6。
圖。 8
但該磁區所包含的資料與MFT記錄完全不同。 儘管這表明由於缺陷清單不正確而可能導致翻譯錯誤,但這並不能證明這一事實。 為了進一步檢查,我們將相對於 10 個磁區在兩個方向上讀取磁碟 000 個磁區。 然後我們將在我們讀到的內容中搜尋正規表示式。
米。 9 第一次MFT錄音
在扇區 6 中,我們找到了第一個 MFT 記錄。 它的位置與計算出的位置相差291個扇區,然後連續跟隨一組551筆記錄(從32到16)。 我們將磁區 0 的位置輸入到移位表中,並向前移動 15 個磁區。
圖。 10
第 16 號記錄的位置應該是偏移量 12,但我們在那裡發現了零,而不是 MFT 記錄。 讓我們在周邊地區進行類似的搜尋。
米。 11 MFT條目0x00000011 (17)
偵測到 MFT 的大片段,從記錄號 17 開始,長度為 53 筆記錄),移位了 646 個磁區。 對於位置17,在移位表中放置+12個扇區的移位。
在確定了 MFT 片段在空間中的位置後,我們可以得出結論,這看起來不像隨機故障,也不像以不正確的偏移量記錄 MFT 片段。 譯者錯誤的版本可視為已確認。
為了進一步定位移位點,我們將設定最大可能的位移。 為此,我們確定 NTFS 分割區的結束標記(引導磁區的副本)移動了多少。 在圖 7 中,在偏移 0x28 處,四字是 0x00 00 00 00 01 13 09 A2 (18) 磁區的分割區大小值。 讓我們將分割區本身從磁碟開頭的偏移量加上其長度,我們得到結束 NTFS 標記的偏移量 024 + 866= 18。正如預期的那樣,所需的引導磁區副本不存在。 當搜尋周圍區域時,發現相對於最後一個MFT片段增加了+024扇區的偏移。
米。 12 NTFS引導磁區的副本
我們忽略偏移量 18 處的引導磁區的另一個副本,因為它與我們的分割區無關。 根據先前的活動,確定該部分包含廣播中「突然出現」的 041 個扇區,從而擴大了資料範圍。
我們對磁碟機執行完整讀取,留下 34 個未讀磁區。 不幸的是,不可能可靠地保證所有這些缺陷都是從P 列表中刪除的,但在進一步分析中,建議考慮它們的位置,因為在某些情況下,可以通過以下方式可靠地確定移位點:扇區的準確性,而不是檔案的準確性。
米。 13 磁碟讀取統計。
我們的下一個任務是確定班次的大致位置(以發生班次的文件的準確性為準)。 為此,我們將掃描所有 MFT 記錄並建立文件位置鏈(文件片段)。
米。 14 文件或其片段的位置鏈。
接下來,從一個文件移動到另一個文件,我們尋找出現其他數據而不是預期文件頭的時刻,並將以一定的正向偏移找到所需的頭。 當我們完善換檔點時,我們填寫了表格。 填充的結果是99%以上的檔案沒有損壞。
米。 15 使用者文件清單(已獲得客戶同意發布此截圖)
若要在單一檔案中建立點偏移,您可以執行額外的工作,如果您知道檔案的結構,則可以尋找與其不相關的資料包含物。 但這項任務在經濟上是不可行的。
PS 我還要向我的同事致意,這張光碟以前在他們手中。 使用設備韌體時請務必小心,並在更改任何內容之前備份服務數據,如果您無法與客戶就工作達成一致,請勿故意加劇問題。
來源: www.habr.com