Офис небольшой торговой компании располагался на первом этаже жилого дома, построенного в семидесятых годах прошлого века.
За время своего существования дом изрядно обветшал, но продолжал использоваться с небольшим косметическим ремонтом.
Хоть компания и жаловалась на ненадлежащее состояние труб и сантехнического оборудования, она не спешила решать эти проблемы за свой счет, полагая, что предстоящий капитальный ремонт снизит их потенциальные затраты.
Но, как показали последующие события, не следует полагаться на голые экономические расчеты без учета рисков.
Июньским утром сотрудники компании обнаружили, что подъезд офиса затоплен, а из окон на улицу вытекает пар.
Срочно была вызвана бригада скорой помощи, остановила поступление воды в помещение и начала ее откачивать.
Причиной затопления стала коррозия металла, которая привела к разрушению одного из фитингов на трубе горячего водоснабжения.
Был причинен ущерб стенам, полу, мебели, документам и оргтехнике.
Больше всего пострадали компьютеры, которые находились в серверной административной комнате и оставались включенными круглосуточно.
Приводы, которым приходилось работать при погружении в горячую воду, представляли собой весьма печальное зрелище.
рис.
1 После анализа резервных копий данных, которые находились за пределами офиса, было принято решение о необходимости восстановления данных с некоторых дисков.
Одним из них был накопитель Samsung HD753LJ. Примерно в таком состоянии накопитель прибыл в нашу лабораторию восстановления данных (на рис.
1 накопитель уже после процедуры очистки от пыли и грязи).
Известно, что корпус привода не герметичен и имеет воздушный фильтр для выравнивания давления внутри привода с окружающей средой.
рис.
2 Конструкция привода такова, что ось БМГ ввинчивается в корпус в резьбовое отверстие и пломбируется круглой наклейкой с внешней стороны корпуса.
К сожалению, в нашем случае наклейка смылась под воздействием горячей воды.
рис.
3 Учитывая, что накопитель находился в воде на протяжении многих часов с отклеившейся защитной наклейкой, мы предполагаем, что жидкость могла попасть внутрь гермоблока.
Мы открываем резервуар для хранения в ламинарном шкафу.
Первичный визуальный осмотр не выявил серьезного попадания жидкости в HDA. 
рис.
4 Снимаем блок магнитных головок (ММГ) и осматриваем под микроскопом резьбовое отверстие в корпусе привода и его окрестности, а также саму ММГ.
В результате осмотра на самом резьбовом соединении были обнаружены небольшие подтеки, что говорит о том, что жидкости попало довольно много и к моменту прибытия накопителя к нам она уже вся испарилась.
Деформаций подвесов и ползунков не обнаружено, переключатель-предусилитель визуально без повреждений.
Проводим операцию по удалению содержащихся в жидкости солей, чтобы пыль не летала вокруг ГДА, как на корпусе, так и на самом ПМГ.
Также измеряем сопротивление всех выводов на колодке от переключателя предусилителя и сравниваем его с сопротивлением аналогичного привода.
Результаты проверок позволяют предположить исправность ключа-предусилителя.
На основании того, что серьезных загрязнений обнаружено не было, деформаций подвесов и ползунов нет, а также есть основания предполагать, что переключатель-предусилитель исправен, приходим к выводу, что переносить диск нет необходимости.
пакет в другой корпус и также нет необходимости использовать БМГ с диска-донора.
Собираем привод обратно.
По результатам первичного визуального осмотра очевидно, что печатная плата «контроллера» данного привода деградировала в результате электрохимической коррозии и не может быть использована.
В этом семействе (F1_3D) ПЗУ расположено в MCU Marvell 88i8826E. Учитывая, что неизвестно, «жив» ли этот MCU, а также сложность пайки BGA-микросхем, варианты получения оригинального содержимого ПЗУ исключаются.
В случае с накопителями Samsung этого семейства методика применима.
Считав модули прошивки, можно установить версию оригинальной прошивки, а также понять, весь ли код прошивки был помещен в ПЗУ микроконтроллера или для его хранения использовались оверлеи в служебной зоне.
рис.
5 После анализа модуля FSI мы установили прошивку версии 1AG08ugB.d35. Оценивая содержимое модулей 73_MOVLY, 19_BOVLY, мы обнаруживаем, что они сплошь заполнены нулями.
Данное наблюдение позволяет сделать вывод, что практически любое ПЗУ с совместимым идентификатором платформы, не использующее модули 19 и 73 для хранения исполняемого кода, может быть использовано для восстановления данных.
Мы используем плату-донор, в которую записываем ближайший совместимый ПЗУ.
Ближайшая версия на складе оказалась 1АА18ХуМ.
д35. Пробный запуск показал лог в терминале с некоторыми сообщениями об ошибках, не критичных при чтении пользовательских данных.
рис.
6 По реестрам накопитель также сообщил, что готов к обмену данными.
рис.
7 В оперативной памяти жесткого диска модифицируем количество аппаратных повторов со 100 попыток чтения до 2, чтобы не провоцировать длительных задержек в нечитаемых областях, а также частично отключаем процедуры автономного сканирования.
Создаем задачу посекторного копирования на другом диске и в первую очередь строим карту распределения зон.
рис.
8 Начинаем чтение в UDMA-режиме с таймаутом готовности 300 миллисекунд, прерывая работу при обнаружении нестабильности, выдавая программный сброс и перепрыгивая на 100 000 секторов вперед. Ошибки UNC обнаружены в секторах 6 24x xxx и 89 36x xxx. Остальные разделы читаются без труда.
Отправляем накопитель в спящий режим и анализируем нулевой сектор на копии.
рис.
9 На рис.
9 видно, что имеются записи двух разделов.
Первый раздел начинается с сектора 0x0000003F (63) и имеет длину 0x061A7927 (102 398 247) секторов.
Второй раздел начинается с сектора 0x061A7966 (102 398 310) и имеет длину 0x446AF55B (1 147 860 315) секторов.
По смещению 0x1BE стоит значение 0x80 — признак того, что раздел активен (раздел загрузочный).
По расположению дефектов очевидно, что они возникают на первом участке.
Сектор 63 содержит загрузочный сектор первого раздела, который помимо кода загрузчика, передающего управление NTLDR, содержит параметры файловой системы.
рис.
10 Из параметров файловой системы отметим: сектор 512 байт, в кластере 8 секторов, размер раздела в загрузочном секторе соответствует размеру, описанному в таблице разделов.
Первый сектор MFT рассчитывается по формуле: X*Y+Z, где X — номер первого кластера местоположения MFT, Y — количество секторов в кластере, Z — смещение к началу раздела.
0x00000000000C0000*0x08+0x3F=0x000000000060003F (6 291 519) Так как по этому смещению у нас есть непрочитанный фрагмент, то вычисляем положение MFT Mirror 0x000000000061A792*0x08+0x3F=0x00000000030D3CCF (51 199 183) По этому смещению непрочитанных фрагментов нет. Определив положение MFT и проанализировав его местоположение, строим карту.
рис.
одиннадцать Читаем частично непрочитанный первый фрагмент MFT. Операция проходит без затруднений.
Проанализируем записи MFT и сравним их с картой чтения.
В результате мы обнаруживаем, что дефекты встречаются только в двух файлах.
рис.
12 Первый — это сервисная структура NTFS, которая не является критической.
Второй представляет собой файл виртуальной памяти в Windows и также не представляет никакой ценности для Заказчика.
Для выяснения природы дефекта читаем непрочитанные фрагменты этих файлов, что покажет наличие совершенно нечитаемых участков в несколько тысяч секторов, что говорит о некорректной работе накопителя в последние минуты.
В заключение хотелось бы еще раз напомнить всем о необходимости резервного копирования и о том, что копии желательно хранить не в тех местах, где расположены накопители с основными рабочими данными, так как в случае такого достаточно легко В случае предсказуемых обстоятельств непреодолимой силы все имеющиеся данные могут быть повреждены.
информация.
Предыдущая публикация: Всегда ли шифрование или восстановление данных с внешнего жесткого диска Prestigio Data Safe II надежно? Следующая публикация: Грех администратора или восстановление данных со стука HDD Western Digital WD5000AAKX Теги: #Системное администрирование #Резервное копирование #Хранилище данных #HDD #Восстановление данных #вода #жесткий диск #восстановление информации #жесткий диск #жесткий диск #наводнение #утонул
-
Ннми 8: От Слов К Делу
19 Oct, 24 -
Экспорт Ключа Signalcom В Openssl
19 Oct, 24 -
Новый Необычный Сервис Микроблогов
19 Oct, 24 -
Начнется Ли Сегодня Вечером Sms-Эпидемия?
19 Oct, 24 -
Microsoft Выпустила Бесплатный Антивирус
19 Oct, 24
