6月の朝、会社の従業員は、オフィスの入り口が浸水し、窓から通りに蒸気が入ることを発見しました。 緊急チームが緊急に呼び出され、部屋への水の流入を停止し、ポンプで揚水を開始しました。 浸水の原因は金属腐食であり、これにより温水パイプの取り付け金具の1つが破壊されました。
損傷は、壁、床、家具、書類、事務機器に生じました。 最も影響を受けたのは、サーバー管理領域にあり、24時間稼働しているコンピューターでした。 お湯に浸したときに動作しなければならなかったドライブは非常に悲しい光景でした。
図 1
オフィスの外にあるデータのバックアップコピーを分析した後、一部のドライブからデータを復元する必要性について決定が下されました。 それらの1つは、Samsung HD753LJドライブでした。
ほぼこの状態で、ドライブはデータ復旧ラボに入りました(図1では、ほこりや汚れを除去した後のドライブ)。 ドライブ本体はきつくなく、ドライブ内の圧力を環境と等しくするためのエアフィルターを持っていることが知られています。
図 2
ドライブの設計は、BMG軸がねじ穴を介してハウジングにねじ込まれ、ハウジングの外側の丸いステッカーでシールされるようになっています。 残念ながら、私たちの場合、ステッカーはお湯の影響で洗い落とされました。
図 3
ドライブが剥がされた保護ステッカーの付いた水に長時間浸されていることを考えると、液体が圧力ユニットに入る可能性があると想定します。 層状の箱の状態で、ドライブを開きます。 最初の目視検査では、密閉ブロックへの深刻な液体の侵入は明らかになりません。
図 4
磁気ヘッド(BMG)のブロックを取り外し、ドライブ本体とその周囲のネジ穴、およびBMG自体を顕微鏡下で検査します。 検査の結果、ねじ継手自体に小さな汚れが見つかりました。これは、かなりの量の液体があり、ドライブが私たちのところに来るまでにすべてが蒸発したことを示しています。 サスペンションとスライダーの変形は検出されず、スイッチのプリアンプは視覚的に損傷がありませんでした。 本体とBMG自体の両方で圧力ブロック全体に粉塵が広がるのを防ぐために、液体に含まれる塩を除去する操作を実行します。 また、スイッチのプリアンプからブロック上のすべての端子の抵抗を測定し、同様のドライブの抵抗と比較します。 チェックの結果は、プリアンプスイッチの状態を示唆しています。 深刻な汚染は検出されなかったという事実に基づいて、サスペンションとスライダーの変形はなく、プリアンプスイッチが機能していると信じる理由もあります。ディスクパッケージを別のケースに移す必要はなく、ドライブからBMGを使用する必要もありませんドナー。 ドライブを回収します。
最初の目視検査の結果に基づいて、このドライブの「コントローラー」のプリント回路基板が電気化学的腐食の結果として劣化し、使用できないことが明らかです。 このファミリ(F1_3D)では、ROMはMarvell MCU 88i8826Eにあります。 このMCUが「アライブ」であるかどうか、およびBGAチップのはんだ付けの困難さが不明であるため、ROMの元の内容を取得するためのオプションを除外します。
このファミリのSamsungドライブの場合、 ホットスワップ技術が適用可能です。 ファームウェアモジュールを読み取った後、元のファームウェアのバージョンをインストールできます。また、ファームウェアコード全体がマイクロコントローラーのROMに配置されたかどうか、またはサービスエリアのオーバーレイを使用して保存したかどうかを理解できます。
図 5
FSIモジュールを分析した後、ファームウェアバージョン1AG08ugB.d35をインストールしました。 モジュール73_MOVLY、19_BOVLYの内容を評価すると、それらは完全にゼロで埋められていることがわかります。 この観察により、データリカバリには、実行可能コードの保存にモジュール19および73を使用しない互換性のあるプラットフォーム識別子を持つほぼすべてのROMを使用できると結論付けることができます。
最も近い互換性のあるROMを作成するドナーボードを使用します(最も近いバージョンは1AA18HuM.d35です)。
テスト開始時に、ユーザーデータの読み取り時に重要ではないいくつかのエラーメッセージを含むログが端末に表示されました。
図 6
レジスタによると、ドライブはデータ交換の準備ができていることも発表しました。
図 7
ハードディスクのRAMで、ハードウェアリピートの数を100回の読み取り試行から2回に変更して、読み取り不可能な領域で長い遅延を引き起こさないようにし、オフラインスキャン手順を部分的に無効にします。
セクターごとに別のドライブにコピーするタスクを作成し、まずゾーン分布のマップを作成します。
図 8
300ミリ秒の準備を待機するタイムアウトでUDMAモードで読み取りを開始し、不安定が検出されたときに操作を中断し、ソフトウェアリセットを適用し、100,000セクターを前方にジャンプします。
UNCエラーは、セクター6 24x xxxおよび89 36x xxxで検出されます。 残りのセクションは難なく読むことができます。
ドライブをスリープモードに送り、コピーでゼロセクターを分析します。
図 9
図 図9は、2つのセクションのレコードがあることを示しています。 最初のセクションはセクター0x0000003F(63)で始まり、その長さは0x061A7927(102 398 247)セクターです。 2番目のセクションはセクター0x061A7966(102 398 310)で始まり、その長さは0x446AF55B(1,147,860,315)セクターです。 オフセット0x1BEで、値0x80が見つかりました-パーティションアクティビティの兆候(パーティションは起動可能です)。 欠陥の局在化によると、それらが最初のセクションに該当することは明らかです。
セクター63には、最初のパーティションのブートセクターがあり、NTLDR制御を転送するブートローダーコードに加えて、ファイルシステムパラメーターが含まれています。
図 10
ファイルシステムパラメーターのうち、512バイトのセクター、クラスター内の8セクター、ブートセクター内のパーティションのサイズは、パーティションテーブルに記載されているサイズに対応しています。
MFTの最初のセクターは次の式で計算されます:X * Y + Z、ここでXはMFTロケーションの最初のクラスターの数、Yはクラスター内のセクターの数、Zはパーティションの先頭へのオフセットです。
0x00000000000C0000 * 0x08 + 0x3F = 0x000000000060003F(6 291 519)
このオフセットに未完成のフラグメントがあるため、MFTミラーの位置を計算します
0x000000000061A792 * 0x08 + 0x3F = 0x00000000030D3CCF(51 199 183)
このオフセットには未読のフラグメントはありません。 MFTの位置を決定し、その場所を分析したら、マップを作成します。
図 11
MFTの部分的に未読の最初のフラグメントを読み取ります。 操作は問題なく行われます。
MFTレコードを分析して、読み取りマップと比較してみましょう。 その結果、2つのファイルのみに欠陥があることがわかりました。
図 12
1つ目はNTFSサービス構造で、これは重要ではありません。
2番目はWindowsの仮想メモリファイルであり、顧客にとっての価値も表していません。
欠陥の性質を明確にするために、これらのファイルの未読フラグメントを読み取ります。これは、数千セクターの完全に読めないセクションの存在を示し、最後の数分でドライブが正しく動作しないことを示します。
結論として、バックアップの必要性を全員に思い出させたいと思います。また、このようなかなり容易に予測できる不可抗力イベントが発生した場合、すべての利用可能なメイン操作データのあるドライブが置かれている間違った場所にコピーを保存することをお勧めします情報。
前の投稿:Prestigio Data Safe IIは、外部ハードドライブからのデータを安全に暗号化または復元しますか
次の投稿:管理者の罪またはHDDノッキングからのデータ復旧Western Digital WD5000AAKX