电子数据取证学习笔记-2|弘德网_弘德商城_公共安全产品网
6、文件数据恢复原理
6.1 逻辑数据恢复原理
特点:扫描完全,只要数据区中存在特征文件,就会被检索出来。
例:word文档(97-2003)
word文档在硬盘中的实际构成总是以“D0CF11E0A1B11AE10000000000000000”为文件头部特征的,如下图。扫描到文件头之后,继续按扇区查找其文件脚,发现它的二进制表示的文件脚。
这样恢复的文件由于没有先前的目录信息,因此不能恢复出文件名,但是只要数据没被覆盖,就可以对文件进行完全恢复。
影响基于文件特征数据恢复方法的效果主要有两个方面:
一是文件是否为连续存储,即是否存在碎片;
另一种是所有的固件数据全部保存在硬盘的副磁道上。
这两种情况下恢复出来的数据可能无法打开或者只显示部分数据。
7、物理修复原理
7.1 固件修复
固件的概念
固件存放位置一般有两种形式:
一种是一部分固件数据保存在硬盘电路板的芯片中,另一部分保存在硬盘盘片的副磁道上,即0磁道前面的磁道;
另一种是所有的固件数据全部保存在硬盘的副磁道上。
固件的结构
大部分硬盘固件有两个工作区,即主固件和次固件区,有些硬盘则有三个,多一个备份固件区。
固件管理模块:由初始诊断模块、伺服电机旋转控制模块、磁头定位模块、硬盘控制器和缓冲存储器的信息交换模块等构成。管理模块出现损坏,一般会造成硬盘不能准备就绪或者硬盘的型号、容量等相关参数不能被正确识别等故障。
配置和设置表:包含关于硬盘空间的逻辑和物理信息。如果配置和设置表出现故障,硬盘的型号、最大LBA值、物理磁头的定位、Zone分配表等相关参数将不能被正确识别。缺陷列表:厂家会通过缺陷列表的方式将缺陷扇区进行记录,从而使用户不能发现和使用到缺陷扇区。一般缺陷列表包括P-list、G-list、U表和道表四种。P-list又称为永久缺陷列表,厂家在硬盘出场前会对其进行全面校准,将校准过程中找到的缺陷磁道和扇区记录在P-list中,并且对所有磁道和扇区编号过程中,跳过这些缺陷扇区。G-list又称为增长缺陷列表,硬盘在使用中如果出现了新的缺陷扇区,硬盘会通过自动修复机制,使用保留扇区中的一个备用扇区来替换该缺憾扇区,并将新发现的缺陷扇区记录到G-list中。保留扇区在硬盘内磁道,缺陷扇区加入G-list后会影响读写速度。U表即固件区缺陷列表,用于记录硬盘固件区产生的缺陷,该表主要存在于迈拓和西部数据两个品牌的硬盘。道表就是压缩后的P表,由于固件区存储空间有限,当向其中加入的缺陷信息达到一定程度时,无法继续写入,这是就可将P-list进行压缩,以增加P-list容量。
固件区还有硬盘工作记录表,包括硬盘生产和运行过程中的辅助信息,如检测结果、检测程序动作记录等。
7.2 硬盘物理故障修复
对于硬盘电路板供电、接口、缓存、BIOS、电机驱动芯片等出现故障时,既可以通过维修或更换受损电阻、电容、场效应管等元器件修复故障硬盘的电路板,也可以使用相同型号硬盘的电路板替换故障硬盘的电路板,从而使硬盘恢复正常工作。
对于硬盘磁头芯片、前置信号处理器、音圈电机、磁头等磁头组件出现故障时,由于磁头组件精密度高、维修成本高,因此一般是使用相同型号的硬盘的磁头组件替换故障硬盘的磁头组件,从而将故障硬盘上的数据读取出来。
对于硬盘主轴电机故障,由于多数硬盘的主轴电机是铆在硬盘盘体上,不能拆解,因此一般是通过把故障硬盘盘片取下放到相同型号的备件盘盘体内的方法,使用备件盘将故障盘盘片上的数据读取出来。
对于硬盘盘片出现坏扇区时,一般通过替换G-list或者隐藏P-list等方法进行修复,而如果硬盘盘片出现划伤,盘片上的数据基本就无法恢复了。
7.3 芯片存储物理故障修复
芯片存储设备(U盘、存储卡、固态硬盘等)出现物理故障一般表现为没有任何反应、无法识别的设备、无容量、无媒体、无法格式化等情况,故障原因一般为接口故障、供电故障、晶振故障、主控芯片故障、闪存芯片故障或其他元器件烧毁。
对于U盘的故障,一般可以通过焊脚补焊、替换相同频率晶振、替换相同型号主控芯片等方法进行修复。如果U盘电路板上的元器件损坏比较严重,较难修复,可以将其闪存芯片吹焊下来,再吹焊到相同型号的备件U盘电路板上,使U盘能够正常工作。
除此之外,还可以利用由软件和硬件相结合来实现一个U盘控制器的仿真器,通过译码器运算将闪存芯片的内容解码,即可实现正确读取闪存芯片内数据的目的。
此文转自微信公众号:Tide安全团队,如涉侵权,请联系后台删除~
