図 1
この状態で、外付けハードドライブがデータリカバリラボに入りました。 目視検査では、ボックス自体の変形は明らかになりません。 先史時代に打撃が現れることを考えると、そのようなドライブは、さらなる損傷を避けるためにそれをオンにしようとする試みなしに、層流ボックスで強制的に開くことがあります。 Wyattファミリーの代表であるSeagate ST9500325ASハードドライブ(Momentus 5400.6)は、箱から取り外されています。 カバーに変形やへこみのないハードドライブのケース。 すべての可能な場所からほこりを除去し、層流ボックスに移動する対策を講じます。 カバーを取り外すと、磁気ヘッドのブロックが駐車場の外側にあることがわかります。
図 2
プラーを使用して、ランプへのBMG出力を実行します。 次に、BMGを抽出し、4つのスライダーとサスペンションすべてを顕微鏡で注意深く調べて、変形と異物の有無を調べます。 また、BMGが付着する場所で再循環フィルターと上部プレートの表面を検査します。 私たちの場合、サスペンションの変形はなく、スライダーの汚染もないことがわかりました。 プレートの表面には、肉眼では見えない損傷のある「スポット」があります。 再循環フィルターに金属粒子はありません。 プラスチック製の駐車ランプに損傷はなく、スキューディスクパッケージはありません。
この検査の結果に基づいて、元のユニットで磁気ヘッドを読み取ろうとすることは許可されますが、プレートの外縁の損傷の存在を考慮する必要があります。 磁気ヘッドのブロックをドライブに戻し、回収します。 ドライブに衝撃負荷がかかっていることがわかっているので、元のプリント回路基板100536286 Rev Eを、ROM転送付きの既知の良好なドナードライブ回路基板に交換します。 この方法は、潜在的なマイクロクラックによる不快な驚きを避けるために推奨されます。
ドライブをSATAポートとターミナルに接続し、電源を投入します。 私たちのケースでは、ドライブは打撃なしでシャフトを回転させ始めました。 キャリブレーションテストの通常の音が聞こえ、数秒後にドライブはレジスタ内のデータを交換する準備ができたことを発表しました。
図 3
端末には、オプションのイベントロギングが無効になっている通常のドライブ開始ログもあります。
Rst 0x08M
(P)SATAリセット
RAMドライブですぐに、HDD構成モジュール(ID = 0x2A)を見つけて、オフラインスキャン手順、オフラインおよび遅延欠陥隠蔽の起動を担当するすべてのキーを削除し、読み取りおよび書き込みの自動アンロード手順を無効にする必要があります。 この措置は、問題が検出されたときにドライブが欠陥メンテナンス手順を開始しようとしないようにするために必要です。これは、問題領域でのBMGの長時間の遅延につながり、雪崩のような破壊(プレートの鋸引き)を引き起こす可能性があるためです。 0x2Aモジュール(システムファイルFC36608F)の構造は非常に単純です(パラメーターを書き込む手順はかなり明白です)。 この研究では(すべてのドライブF3アーキテクチャについて研究が行われ、現在も続けられています)、主な困難は各パラメーターと許容値の目的を確立することでした。 PC3000コンプレックスの最新バージョンを使用すると、値を編集する手順が大幅に簡素化されます。
ドライブファームウェア(ROM、モジュール、「システムファイル」)を予約します。 ドライブの機能、各ヘッドによって記録された読み書き能力にとって重要ではないテストモジュールをチェックします。 すべてのヘッドが正しく機能することを確認した後、ユーザーゾーンでの読み取り品質の評価に進みます。 これを行うために、論理空間全体の境界内にゾーン分布のマップを構築します(LBA範囲の0から976 773 167セクター)。 ミニゾーンのサイズを見積もったので、この場合のヘッドの可読性を評価するには、論理スペースの終わりに約300,000セクター、中央に約450,000セクター、ディスクの始めに約600,000セクター(プレートへの損傷を知って、ディスクの先頭はテストされていません)。
すべてのヘッドが読み取り可能であることを確認した後、読み取りパラメータを設定します:UDMAモード、読み取り操作のタイムアウトは500ミリ秒以下、準備ができていない場合はソフトリセットとミニゾーンのスキップ。 ミニゾーンのリストを逆の順序で作成したら、ミニゾーンの順次読み取りに進みます(セクターごとのコピーを作成します)。
図 4
論理空間の99%が問題なく読み取られました。 ヘッドNo. 1のLBA 6 541 xxxから、最初の遅延が検出されました。 読み取りはすぐに中断され、ドライブはスリープモードに移行しました(ランプへの駐車、シャフト停止、ファームウェアはハードディスクのRAMにロードされたままです。ゾーンのリストを直接の順序で再構築し、順次読み取りに進みます。
図 5
LBA 2,518 xxxでは、ヘッドNo. 1の読み取り遅延も検出されました。 また、ドライブをスリープモードにすばやく送信します。 欠陥ゾーンの境界と6 541 000-2 518 000 = 4 023 000のサイズの大まかな評価を実行します。これは約2 GBです。
さらなる分析は、作業ドライブ上のコピーのみで実行されます。 LBA 0の内容を評価しましょう。
図 6
オフセット0x1C2の値0x07は、パーティションタイプがNTFS(またはExFAT)であることを示しています。
オフセット0x1C6の値0x00000800は、セクションがセクター2 048で始まることを通知します。
オフセット0x1CAの値0x3A384800は、セクションの長さが976,766,976セクターであることを示しています。
セクター2 048に移りましょう
図 7
NTFSパラメーターから、セクターは512バイト、クラスター8のセクター、クラスターサイズは512 * 8 = 4096バイトであることがわかります。 MFTはクラスター0x00000000000C0000(786 432)またはセクター6 293 504(786 432 * 8 + 2048)にあります。 MFTミラーはクラスター0x0000000000000002(2)にあるか、セクター2 064(2 * 8 + 2048)から発生します。
欠陥形成の境界を知ると、MFT領域で高い確率で欠陥が発生することがわかります。 これを行うには、最初のMFTレコード(読み取り時に最初の4つのMFTレコードを複製するMFTミラー内)を評価します。 私たちの場合、このファイルは、セクター6,293,504から始まり長さ277,092セクターの単一フラグメントにあります。
図 8
読み取りの主な問題はヘッド番号1に記録されているため、ヘッド番号0のゾーンから読み取りを開始することに注意してください。 ドライブをスリープモードからウェイクし、ゼロヘッドのMFTフラグメントを読み取ります。 この場合、問題は発生せず、最も重要な構造の75%以上を取得できました。 次に、PIOモードを使用して読み取り操作をより適切に制御し、問題のある領域から残りの68,400セクターを読み取ろうとします。 ジャンプのサイズ、準備完了の待機のタイムアウト、複数のパスで読み取るときのブロックのサイズを操作して、問題領域を読み取ります。 MFT領域には18個の未読セクターが残っており、位置が繰り返されます(周期性はこれらのゾーンのSPTに対応します)。これは、このプレートの傷を示しています。
繰り返しになりますが、ドライブをスリープモードに切り替えて、MFT内のレコードのコピーを分析し、ファイルの場所を評価して、どれが欠陥ゾーンに該当するかを理解します。 約50個の影響を受けるファイルが検出されます。 技術仕様を確認し、35を超えるファイルを読み取るためにスクリプトから何を破棄できるかを調べます。 残りの部分については、それらの場所のチェーンを構築し、それらを従う順序でソートします。
読むとき、最初のヘッドによって読み取られた表面の問題に加えて、ヘッドNo. 3によって読み取られた表面に問題が見つかります。 問題のあるサーフェスに沿ったチェーンの読み取りを除外し、サーフェス0および2に沿ったセクションを読み取ります。
次に、ヘッドNo. 1とNo. 3の問題チェーンの読み取りを再開し、30秒以内にドライブからかなり大きなノックが聞こえます。 リセットを申請しようとしていますが、ドライブが応答せず、ノックを続けています。 電源を切ることにしました。 電源の再起動は、ドライブからのノックから始まります。 電源をオフにし、損傷したゾーンの読み取りによる劣化プロセスの進展について結論を出します。
層流ボックスに行き、何が起こったかを調べます。 上面は完璧に見えますが、顕微鏡下では、雪崩のようなプレート破壊のプロセス(ウォッシュダウン)が検出されます。 スライダーNo. 1およびNo. 3に金属粒子が存在すると、診断が明確になります。
セクターごとのコピーから、未読のフラグメントを持つファイルを別のフォルダー(元の階層を持つ)に転送するファイルコピーを作成します。 また、18セクターの損失が何をもたらしたかを理解するために、MFTの正確な分析を行っています。 損傷分析から、失われるファイルは7個以下であることが明確に確認できます。 残念ながら、ビットマップも欠陥領域にあり、その内容を分析に使用することはできません。
結果を受け入れると、ディスクの所有者は結果に満足し(必要なデータの99.9%以上)、MFTの損傷による欠落ファイルを検索するために正規表現の追加分析を行う必要はないと考えました。
結論として、私は多くのユーザーの注意を引いて、「ヘッド」が駐車場の外で立ち往生しているドライブの場合、それほど簡単ではないことを伝えたいと思います。 そして、ハードディスクドライブの動作原理を理解するのにほど遠い人々の提案はどれほど危険で、自分でデバイスを開いて頭を出し、WindowsでLinuxまたはWinHexのddを使用して、セクターごとの「安全な」コピーを作成します。 このような手段がこの資料に記載されているドライブに適用された場合、2ギガバイトを読み取るときにデータが回復する可能性のない死体になります。
次の投稿:Prestigio Data Safe IIは、外部ハードドライブからのデータを安全に暗号化または復元しますか
前の投稿:SK6211コントローラー上のUSBフラッシュのリバースエンジニアリング
habrahabr以外の出版物:障害のあるHDD WD4000FYYZ-01UL1B1からのデータの回復