Claro, o primeiro pensamento é que em qualquer cidade existem vários centros de serviços que competirão entre si para oferecer o serviço de consertar uma unidade com economia de dados, e que você só precisa fazer uma ligação ou preencher um formulário de pedido no site, um especialista virá imediatamente para casa. minutos resolverão todos os problemas.
Mas normalmente depois de um curto período de tempo, chega-se ao entendimento de que ninguém tem pressa em extrair dados da unidade defeituosa em casa, e aqueles que concordam, ao chegar insistem que o disco deve ser levado à oficina para diagnóstico. Ou eles fornecem um breve resumo no espírito de "queimado" e de alguma forma acham difícil explicar a essência de tal diagnóstico, mas ao mesmo tempo eles insistem que o disco deve ser levado para a oficina para diagnósticos estendidos.
Para quem tem a sorte de encontrar um centro de serviços mais ou menos competente, costumam dizer aí que é necessário um serviço de recuperação de dados e são recomendados por algumas empresas especializadas. Os menos afortunados têm que percorrer um caminho espinhoso, durante o qual ocorrem várias mudanças com a pulsão, que não têm o melhor efeito em seu estado.
Esta história contará a história de um disco rígido de um laptop Hitachi HTS547575A9E384 que percorreu um longo caminho antes de devolver os dados a seu proprietário.
Figura: 1 Hitachi HTS547575A9E384 geralmente tem esta aparência.
Nosso primeiro contato com este disco ocorreu no início de outubro de 2020. Um certo jovem visitou nosso escritório. O cliente não falava muito e apenas disse que "a vassoura estava batendo, precisamos de um encontro". O cliente não pôde fornecer nenhuma informação sobre as circunstâncias em que isso aconteceu. Também nos foi proibida a abertura do disco.
Se ouvirmos de um cliente que o disco foi atingido ou faz barulho, então, via de regra, isso significa que devemos remover a tampa e avaliar a natureza dos problemas dentro do HDA. Mas, como neste caso não podemos fazer isso, somos forçados a nos desviar do procedimento diagnóstico padrão, alertando o cliente sobre riscos adicionais.
Bem, a fim de minimizar os riscos de agravar o problema, vamos primeiro verificar a operabilidade da placa controladora e, depois de nos certificarmos de que está tudo bem com ela, conectá-la à porta do complexo PC3000 Express e realizar uma inicialização rápida do drive. É muito importante apreciar os sons que ele emite desde o primeiro segundo. Neste caso, ouvimos o eixo girando, ruído aerotransportado característico dentro do HDA, tentativas de calibração são ouvidas, então em algum ponto sons atípicos aparecem (batidas leves), não semelhantes à batida que este disco rígido teria feito se não tivesse era possível detectar as marcas do servo, e ocorria uma batida cíclica contra o limitador.
Como o som não representa uma ameaça, esperaremos cerca de 20-30 segundos (em alguns casos, mais tempo é possível). Meio minuto depois, o drive estava pronto, o que foi relatado nos registros DRD e DSC . Vamos tentar ler o passaporte.
Figura: 2 Erro ao ler o passaporte.
O disco respondeu com uma recusa a esta tentativa de enviar um comando de solicitação ao passaporte, definindo o sinalizador de erro ERR e indicando o tipo de ABR no registro de erro . Isso geralmente indica que o firmware não foi carregado ou que seu carregamento foi interrompido em algum estágio.
Nesse caso, selecionaremos à força a família necessária no utilitário e veremos se a unidade pode ler pelo menos algo da área de serviço após enviar a chave do modo tecnológico.
Figura: 3 Lançamento de um utilitário especializado do complexo.
Agora vamos solicitar um passaporte novamente, pois em muitos casos ele terá uma função no que exatamente estará contido nos dados de resposta. Com essa resposta, você pode frequentemente entender o estágio em que o carregamento do firmware foi interrompido sem uma análise aprofundada do conteúdo da RAM .
Figura: 4 Passaporte da unidade Hitachi HTS547575A9E384
A unidade emitiu um passaporte de dispositivo completo. Isso indica que o download do firmware foi interrompido em um estágio posterior e, muito provavelmente, carregar um pequeno número de módulos na RAM dará acesso total à zona do usuário.
Vamos verificar na RAM se os módulos PSHT (lista p) e RDMT (lista g), que são responsáveis pela tradução, estão instalados.
Figura: 5 Endereço de RAM onde PSHT deve ser carregado durante a inicialização normal.
A verificação mostra que esses módulos não foram carregados na RAM . É necessário descobrir a legibilidade dos módulos de firmware.
Figura: 6 Verificar a legibilidade dos módulos de firmware.
Ao tentar ler os módulos, nenhum erro de leitura é observado, exceto para os módulos de teste WRT (0-3).
Vamos carregar os módulos RDMT e PSHT na RAM da unidade e definir o sinalizador de inicialização. Vamos tentar ler pequenas seções (cerca de 1.000.000 de setores) em diferentes lugares na faixa lógica do disco. Este teste rápido nesta família ajudará a avaliar a qualidade de leitura de todos os cabeçotes em zonas de diferentes densidades, e a legibilidade no final do intervalo lógico confirmará a tradução correta.
Os resultados do teste confirmaram que a tradução está correta, todas as 4 cabeças podem ler.
Vemos uma leitura constante do firmware, mas um leve toque no início da unidade e uma saída prolongada para prontidão indicam que ainda há um problema.
Conhecemos a ideologia da operação do microprograma: quando o drive é inicializado durante o processo de boot, ele testa a capacidade de gravação de cada um dos cabeçotes nos módulos WRT (0-3).
Como não houve problemas com a leitura das zonas de serviço e usuário, é necessário verificar se o registro funciona. Uma tentativa de gravar nos módulos WRT resulta na mesma derivação que ouvimos quando o inversor foi iniciado. Isso sugere que o BMG dessa unidade não é totalmente utilizável, mas provavelmente isso não interferirá na extração de dados e será possível fazer sem usar um BMG doador .
Com isso, o diagnóstico, cuja duração é inferior a 10 minutos, pode ser considerado completo e o cliente pode ser informado do diagnóstico, do procedimento para a produção de extração de dados, do prazo e do custo.
O cliente, depois de ouvir esta informação, murmurou algo indistinto sob sua respiração, pegou o drive e saiu rapidamente do escritório.
Depois de pouco mais de uma semana, uma pessoa completamente diferente traz a mesma unidade e também acha difícil relatar qualquer coisa sobre as condições em que a falha ocorreu. Efetuamos diagnósticos repetidos e certificamo-nos de que o acionamento se encontra inalterado, informamos sobre a natureza dos problemas, o custo do serviço e o prazo de trabalho. Mas já desta vez a cliente pergunta detalhadamente sobre o assunto, e se não der certo para ler as cabeças originais, então quanto custará a opção com o transplanteBMG . Depois de receber todas as respostas, ele perdoa e vai embora.
Quase um mês se passa e uma ligação chega ao escritório, onde um cliente em potencial pergunta: "É verdade que uma mudança de chefe pode custar US $ 500?" Explicamos que os casos são muito, muito diferentes, que o custo dessas obras depende da complexidade da operação do transplante, da complexidade de trabalhar com o firmware do drive, das nuances de subtração, bem como do custo do doador ou vários doadores que terão que ser usados. Dado que o cliente tem dificuldade em indicar o nome exacto do modelo da unidade, informamos o preço da obra associada ao transplante e oferecemos procedimentos diagnósticos gratuitos dentro de 15-20 minutos, após os quais podemos esclarecer a situação. O tempo de voz, que é suficiente para entender a natureza dos problemas do drive, por algum motivo surpreendeu o cliente que ele até perguntou se realmente ouviu 15-20 minutos corretamente.
Depois de um tempo, esse cliente visitou nosso escritório. O drive neste formulário foi colocado no balcão da área de recepção.
Figura: 7 Aparecimento de Hitachi HTS547575A9E384 após intervenção bárbara.
Pelo número de série no adesivo e sua duplicata na face final HDA, reconhecemos um "velho amigo" que já nos visitou duas vezes. É verdade que, a partir daquele momento, ele começou a ficar muito, muito mal.
Fazemos uma pergunta ao cliente: "Com que finalidade o autocolante foi retirado da capa e o autocolante do orifício tecnológico foi parcialmente descolado?"
Figura: 8 O adesivo que cobre o furo tecnológico está quebrado.
Recebemos a resposta de que isso foi feito em um dos serviços onde seu disco rígido foi diagnosticado na semana passada.
Informamos o cliente que agora iremos remover a tampa, inspecionar esta unidade e relatar os resultados.
Após a retirada da tampa, constatamos a ausência de filtro de recirculação, uma pequena marca de graxa na arruela de pressão e na borda da superfície superior, bem como a presença de substâncias semelhantes à saliva e caspa, deixadas, provavelmente, pela pessoa que abriu esta unidade.
Neste caso, é necessário retirar o BMGe examine sua condição. No processo de remoção, descobrimos que o torque de aperto dos parafusos que prendem o bloco de terminais é muito semelhante ao de fábrica. Não há deformações visuais de pingentes e controles deslizantes pendentes. Traços de poeira metálica também não são encontrados ao examinar os controles deslizantes em um microscópio.
Há razões para acreditar que a unidade foi aberta apenas barbaramente, mas provavelmente ninguém mudou o BMG nela. E a ausência de pó de metal nos controles deslizantes pode dar esperança de que ainda é possível ler BMG para os nativos .
Colocando a unidade de volta. Informamos ao cliente que é necessário realizar procedimentos para remover a contaminação e descrever quais. Dizemos também que há alguma probabilidade de se obter os dados de forma mais orçamentária, uma vez que a total inadequação do BMG não foi comprovada durante a fiscalização. Informamos sobre o custo do serviço, caso ainda necessite de um transplante BMG de um doador. O custo dos serviços anunciado em ambos os casos acabou por ser inferior ao solicitado pelo cliente por telefone. Após alguma deliberação, o cliente deixou um pedido e relatou a tarefa técnica .
Seguiu-se um procedimento rotineiro de retirada de poeira e caspa por sopro, dissolução de gordura e saliva ressecada por meio de compostos químicos, seguida de sua retirada da superfície da placa, instalando-se filtro de recirculação do doador.
Após a limpeza e coleta, descobriu-se que o estado dos elementos de acionamento permaneceu o mesmo que durante os dois primeiros diagnósticos.
O outro cenário envolve a criação de uma tarefa com cópia setor por setor no Data Extractor. Vamos abrir o conteúdo do LBA 0
Figura: 9 Tabela de partição.
A tabela de partição descreve 3 partições NTFS.
O primeiro com o status ativo começa no setor 0x00000800 (2048), setores do tamanho 0x00032000 (204 800). Uma partição típica para as necessidades do carregador de inicialização do Windows Vista ou Windows 7. A
segunda partição começa com o setor 0x00032800 (206 848), setores 0x06176000 (102 195 200). O tamanho é igual ao tamanho do disco do sistema, que foi indicado pelo cliente durante a apresentação da tarefa técnica.
A terceira partição começa em 0x061A8800 (102 402 048) com o tamanho dos setores 0x5139D000 (1362 743 296) e, de acordo com os termos de referência, coincide com o tamanho da segunda partição (unidade D), onde os dados mais importantes para o cliente estão localizados.
Construímos um mapa de miniespaços, partindo de 102 402 048 setores e até o final do espaço lógico.
Figura: Mesa 10 Minisone.
No cenário da tarefa, definimos um salto maior do que o tamanho de qualquer mini-zona e um tempo limite de leitura de 500 milissegundos, bem como uma tecla techno após um soft reset, que será executado após um retardo de leitura. Após duas passagens de leitura, embora com algumas instabilidades, o conteúdo da seção principal foi recebido na íntegra.
Depois de concluir a parte principal da tarefa técnica, construímos um mapa de miniespaços para a seção com o sistema operacional e o lemos com parâmetros semelhantes. Após várias passagens com diferentes parâmetros de leitura, obtemos a seguinte imagem estatística:
Figura: 11 Estatísticas de leitura de disco.
Depois de analisar o MFT em todas as seções, verificamos se os registros estão corretos e se essas estruturas não estão danificadas. A comparação da localização do arquivo com o mapa de defeitos revelou que o dano se espalha para $ Logfile, pagefile e alguns registros de índice, ou seja, se falamos de dados do usuário, obtém-se quase 100% do resultado.
Ao aceitar o resultado, o cliente concordou que os dados de que precisava foram recebidos na íntegra, e contou uma pequena história sobre como levou o disco a 4 empresas diferentes que estavam em sua área e que após vários dias de diagnóstico, diagnósticos de mau funcionamento foram divulgados em todos os lugares cabeças e falou sobre a necessidade de procurar o mesmo disco, mas a última empresa não teve pressa em uma semana para esclarecer o diagnóstico. Quando a paciência do cliente acabou, ele visitou aquela empresa com a intenção de saber o diagnóstico, mas lá foi informado que todos os especialistas estavam muito ocupados e agora não podiam lhe dizer nada, ligue amanhã. O cliente não gostou da resposta e informou-os da sua intenção de levar o seu disco rígido, mas mesmo assim ficou à espera da resposta de que a unidade precisava de ser montada e os mestres estavam todos ocupados e novamente uma oferta para ligar amanhã.No mesmo dia, o cliente fez uma busca no google, encontrou muitas resenhas pouco lisonjeiras sobre empresas com métodos de trabalho semelhantes e decidiu voltar atrás e buscar a devolução do disco rígido. Depois de uma conversa difícil, primeiro com o administrador, depois com uma certa pessoa que se apresentou como o diretor, e a ameaça de chamar a polícia, o caso decolou. O cliente foi prometido que dentro de uma hora o assistente seria lançado e contaria tudo sobre o estado do disco. Quase 2 horas depois, um jovem veio ao consultório com um sachê, colocou o disco aberto na frente do cliente e disse que só a troca da cabeça ajudaria aqui e que o custo equivale a 500 dólares americanos, e também que só os especialistas da cidade estão prontos para lidar com esse problema ... O cliente, após ler os comentários e insatisfeito com esta abordagem, pagou pelos "diagnósticos" desta empresa,que só ficava livre em caso de consentimento para o trabalho, e pegava o carro. O cliente também tentou regressar à empresa que contactou pela primeira vez, mas ao ver o disco barbaramente aberto recusaram-se a aceitar a encomenda, dizem que já era tarde.
Bem, depois de vários dias lendo vários fóruns, o cliente percebeu que não existem tantas empresas na cidade que prestam serviços de recuperação de informações profissionalmente como pode parecer, e que o mercado está repleto de ofertas de artistas inescrupulosos que atraem um preço baixo.
Resumindo, pode-se notar que uma tarefa comum demorava quase um mês e meio ao invés de 2-3 dias úteis, e também teve que pagar por diagnósticos "falsos", devido a ações bárbaras para correr o risco de perda irrecuperável de dados, pague um pouco mais pelo serviço, pois a eliminação das consequências da autópsia foi necessária.
Gostaria de desejar aos cidadãos uma atitude mais responsável para com os seus dados. Não se esqueça da necessidade de fazer backups em diferentes dispositivos. E, se surgirem problemas, adote uma abordagem responsável na escolha dos artistas para não se tornar uma vítima de engano ou interferência irrestrita.
Postagem anterior: HDD para Mac ou o caso comum para um laboratório de recuperação de dados