在院子里是2019年。 容量为9.1 GB的QUANTUM FIREBALL Plus KA驱动器来到了我们的实验室,这在我们这个时代并不常见。 根据驱动器的所有者的说法,该故障发生在2004年,原因是电源出现故障,该电源抓住了硬盘驱动器和其他PC组件。 然后遍历各种服务,尝试修复驱动器和还原失败的数据。 他们承诺在某个地方便宜,但仍然无法解决问题,在那个地方太贵了,客户不想恢复数据,但最终磁盘通过了许多服务中心。 他已经迷路了几次,但是由于所有者事先要注意记录驱动器上各种贴纸上的信息,因此他设法确保将硬盘驱动器从某些服务中心退回。 电路并没有被忽视,在原始控制器板上有多条焊接痕迹,并且在视觉上也感觉到缺少SMD元件(展望未来,我将说这是该驱动器中最少的问题)。
图 1个HDD Quantum Fireball Plus KA 9.1GB我要做的第一件事是在这样一个古老的双胞胎兄弟的供体档案中搜索,该兄弟带有一个工作的控制器板。 完成此任务后,可以执行详细的诊断措施。 在检查电机绕组是否短路后,确保没有短路,我们从驱动器(施主到驱动器)到患者的位置安装板。 我们通电并听到轴旋转的正常声音,加载了固件后通过了校准测试,几秒钟后,驱动器通过寄存器进行了寄存器登记,表明其已准备好响应来自接口的命令。
图 2个DRD DSC指示器指示准备接受命令。我们保留固件模块的所有副本。 我们检查固件模块的完整性。 阅读模块没有问题,但是对报告的分析表明存在一些奇怪之处。
图 3.区域表。我们注意区域分布表,我们注意到汽缸数是13845。
图 4 P列表(主要列表-生产周期中引入的缺陷列表)。我们要注意的缺陷及其定位太少。 我们查看了隐藏工厂缺陷的模块(60h),发现该模块为空并且不包含任何条目。 基于此,我们可以假定在某些以前的服务中心中,可能已经对驱动器的服务区域进行了某些操作,或者意外或有意记录了其他人的模块,或者清除了原始缺陷列表。 为了验证这一假设,我们在数据提取器中创建了一个任务,并启用了“创建逐个扇区的副本”和“创建虚拟转换器”选项。
图 5任务参数。创建任务后,我们查看分区表中零扇区(LBA 0)中的条目
图 6主引导记录和分区表。在偏移量0x1BE处,存在一条记录(16个字节)。 分区上的文件系统类型为NTFS,偏移量为0x3F(63)扇区的开头,分区的大小为0x011309A3(18,024,867)扇区。
在部门编辑器中,打开LBA 63。
图 7 NTFS引导扇区根据NTFS引导扇区中的信息,可以说以下内容:卷中采用的扇区大小为512字节(单词0x0200(512)写入偏移量0x0B),群集中的扇区数为8(字节0x08写入偏移量0x0D),群集大小为512x8 = 4096字节,第一个MFT记录位于磁盘起始位置的6,291,519个扇区的偏移处(在偏移量0x30处,四字0x00 00 00 00 00 00 00 00 00 00 00(786 432)是第一个MFT群集的编号。扇区号由以下公式计算:群集号* (分区开始前的簇中的扇区数+移位786 432 * 8 + 63 = 6,291,519)。
我们传递到部门6 291 519。
图 8但是,此扇区中包含的数据与MFT记录完全不同。 尽管这表明由于缺陷列表不正确而可能导致广播错误,但不能证明这一事实。 为了进一步验证,我们将相对于6,291,519个扇区从两个方向读取10,000个扇区中的磁盘。 然后,我们将在读取的内容中搜索正则表达式。
图 9首MFT纪录在部门6,291,551中,我们找到了第一条MFT记录。 它的位置与计算出的32个扇区不同,然后连续出现一组16条记录(从0到15)。 让我们在移位表中输入扇区6 291 519的位置以前进32个扇区。
图 10第16号记录的位置应在12 551 431处偏移,但在这里我们找到零,而不是记录MFT。 我们将在附近进行类似的搜索。
图 11 MFT记录0x00000011(17)检测到较大的MFT片段,从记录号17开始,其长度为53,646条记录,移动了17个扇区。 对于位置12 155 431,我们将在移动表中移动+17个扇区。
确定了MFT片段在空间中的位置后,我们可以得出结论,这看起来不像是随机故障和通过不正确的偏移量记录MFT片段。 带有错误翻译器的版本可以被认为是已确认。
为了进一步确定剪切点,我们设置了最大可能的位移。 为此,我们确定将最终的NTFS分区标记移位了多少(引导扇区的副本)。 在图7中,在偏移量0x28处,第四个字是分区大小0x00 00 00 00 00 01 13 09 A2(18,024,866)扇区的值。 让我们将分区本身从磁盘开始到其长度的偏移量相加;我们将得到最终NTFS标记的偏移量18,024,866 + 63 = 18,024,929,正如预期的那样,不需要引导扇区的副本。 在附近搜索时,相对于MFT的最后一个片段,检测到+12个扇区的偏移增加。
图 12复制NTFS引导扇区我们忽略位于偏移量18 041 006处的引导扇区的另一个副本,因为它与我们的部分无关。 根据以前的事件,发现该部分中散布着61个扇区,它们在广播中“弹出”,从而分割了数据。
我们执行完整的驱动器读取,结果导致34个未读扇区。 不幸的是,不可能可靠地保证所有缺陷都是从P清单中删除的缺陷,但是建议在进一步分析中考虑它们的位置,因为在某些情况下,可以可靠地确定准确的换档点而不是文件的换档点。
图 13磁盘读取统计信息。我们的下一个任务将是确定班次的大概位置(根据其发生的位置)。 为此,我们将扫描所有MFT记录并构建文件位置链(文件片段)。
图 14文件或其片段位置的链。此外,从一个文件移到另一个文件,我们正在寻找在什么地方而不是期望的文件头会有其他数据,并且期望的头将以一定的正位移被检测到。 随着换档点的细化,我们填写了表格。 填充的结果将超过文件的99%,而不会损坏。
图 15用户文件列表(从客户端收到以发布此屏幕截图的同意)要在单个文件中建立点移位,您可以执行其他工作,并且,如果您知道文件结构,请查找与该文件不相关的数据的散布。 但是在这项任务中,这在经济上不可行。
附言:我也想向曾经使用此磁盘的同事发出呼吁。 在进行任何更改之前,使用设备固件和保留服务数据时请小心,并且如果您无法与客户就工作达成共识,也不要故意加剧问题。
下一篇文章:硬盘驱动器的自我诊断和数据恢复上一篇:从希捷ST3000NC002-1DY166光栅硬盘上保存比赛数据或恢复数据