1. <tbody id="l4xpd"><pre id="l4xpd"></pre></tbody>
      <th id="l4xpd"></th>
      <em id="l4xpd"><acronym id="l4xpd"></acronym></em>
        1. 數碼之家

           找回密碼
           立即注冊

          QQ登錄

          只需一步,快速開始

          微信登錄

          微信掃一掃,快速登錄

          搜索
          查看: 1627|回復: 29
          打印 上一主題 下一主題

          [群聯] 使用FE底層分析對金士頓U盤搶救(恢復)一下數據-----踩坑了

            [復制鏈接]
          跳轉到指定樓層
          1#
          發表于 2019-10-7 16:52:47 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式

          馬上注冊,認識更多玩家好友,查閱更多資源,享有更多功能

          您需要 登錄 才可以下載或查看,沒有帳號?立即注冊 微信登錄

          x
          說明下:本人只是業余玩玩的,個人興趣愛好而已。本人承認技術不及專業搞數據恢復的大佬。
          所以PC3K這些高貴儀器的專業大佬輕懟,當我是吹水就行了。
          有大佬玩FE的可以回復指點一下小弟,個人承認在過程中會踩坑了。




          使用工具:FLASH Extractor(屌絲級、業余級別恢復工具,PC3K大佬放過我吧)
          使用輔助軟件:WinHex
          使用輔助參數表:IS903 FLASH配置信息表(也不一定是is903,其他也可以,只是903參數表看起來舒服)
          輔助工具2:程序員計算器(用于計算一些十六進制轉換)

          說明:U盤是某香港網友寄過來的,32G 金某頓品牌,群聯PS-2251-68主控,癥狀為丟固件,需要恢復里面的照片



          本體


          拆之,看起來是群聯封裝的大白(黑)片?
          打標編碼為FD32B08UCT1-B1 吧啦吧啦的



          再用熱風槍吹下FLASH,主控為群聯PS2251-68清晰可見
          為什么不用PC3K(一鍵分析?!)?我也想啊,PC3K貴啊,屌絲玩不起,沒有的模型一樣要分析


          顆粒裝好上FE的測試座,準備讀取底層


          讀到Flash的前4位ID為 98 3A A8 92
          前4位ID對應8T2J及8TDK兩種顆粒,而官方給出的默認參數只有8T2J的直接使用讀出來的底層數據會不正確
          或者換句話說Dump出來的數據會有所缺失,第一次做的時候之前試過默認8T2J的默認參數出來的搜索到的文件非常少而且報錯
          這個顆粒實際可能是對應了 98 3A A8 92 76 50 對應-->>TH58TE(N)G7TDKTA20
          因此要手動配置FLASH的參數



          打開IS903的參數表,查找到了這個顆粒的參數
          具體Block,page,sparesize這幾個重要參數如圖


          使用程序員計算器,計算好FE上的page和block等(FE上用的是十六進制表示因此要進行進制轉換)
          另外,剛才也說了可能對應-->>TH58TE(N)G7TDKTA20
          東芝里面E代表Toggle(同步),N代表非同步片(或異步片)
          這個片片我直接用Toggle模式讀了一下,直接讀到了雙字節,因此推測這片片是異步片
          換為異步模式(即取消DDR勾)



          底層讀取完成,大概耗時1小時10分



          踩坑中,這片片加載后用Check模式快速掃描查找PS2251的算法居然找不到,換了好幾個區段查找也找不到算法



          因此直接用ECC=ON 模式(即打開ECC糾錯)進行查找XOR,這個坑踩中了
          要增強ECC才能搜索到算法(這是多爛的片子啊)
          搜索到了PS2251 1137_1133 這幾個算法
          最后經過調整發現PS2251 1137_1133 Xor 0561_86這個算法最適合這個主控及片片(恢復的文件比較全[劇透了])



          使用ECC=ON大概檢測依然會報大片紅色(強ECC依然無法糾錯的將會當做壞塊處理掉)



          使用科學計算器,對FLASH的block及page進行糾正
          根據IS903上的參數表計算后轉換十六進制
          得出block=0x200000,page=0x2000


          使用Join by dump 對2個CE進行連接 結果出了點情況
          拉到底下發現block及page不正確,直接提示ERROR了
          經過各種計算重新給block加了0x4000,十進制表示為16384個block
          即現在的block=0x204000,page=0x2000



          再次使用Find Mix查找沒有報錯了,證明page及block配置已正確
          但是使用增強ECC依然可見大量紅色的壞塊


          由于存在大量紅色區段的壞塊可能會影響數據讀取及后續處理
          因此我使用Fix Ecc error清除所有ECC錯誤部分



          隨后使用0x55aa/h/512/509來查找分區表
          此處可見查找到了一個NTFS格式的分區標簽,繼續往下找,沒找到新分區,因此這個盤可能只有一個分區


          隨后配置U盤邏輯參數
          使用Ctrl+PageUp或者down調整block大小
          直到出現連續的block區塊為止
          連續的區塊類似:
          0x4a5
          0x4b5
          0x4c5
          0x4d5
          0x4e5
          ......
          但是我并沒在這個U盤上查找到FAT表(只找到了NTFS分區標簽),估計是FAT表已經丟失或者被破壞了






          因此只能用低級掃描了,直接查找每個文件的標簽來嘗試恢復
          這種好處是只要page和block配置正確文件都能正常找到標簽對應的文件
          壞處是不能查找到目錄結構及文件名,因為目錄樹在FAT表上,FAT表找不到文件就會變成孤立的文件




          查找到的結果如圖,圖片打碼中



          提取了一個PDF查看,文件正常




          大致診斷后,使用SAVE IMAGE保存此鏡像,套到Winhex上進一步分析



          由于分區表已經查找不到了,所以直接使用Winhex對反編出來的U盤十六進制鏡像進行文件提取
          恢復出的大致情況如圖中打碼部分


          至此恢復結束,Winhex上報告恢復出了約3482個文件,731個不完整或者損壞,一小部分可能存在不完整情況
          給網友確認后,主要的都得到了恢復,恢復率約80%


          下面送上分析過的模型及顆粒參數吧

          PS2251-68-TH58NVG8TDKTA模型.rar (716 Bytes, 下載次數: 1)
          TH58TVG8TDKTA20.rar (430 Bytes, 下載次數: 1)

          打賞

          參與人數 7M幣 +50 收起 理由
          loveme1314 + 1 優秀文章
          chenzoutie + 1 謝謝分享
          xiaoj1972 + 9 優秀文章
          拿糖糖換媳婦 + 16
          genieg + 3 優秀文章
          aping365 + 10
          cxw0102 + 10 優秀文章

          查看全部打賞

          2#
          發表于 2019-10-7 17:16:50 | 只看該作者
          飛機大佬玩的越來越溜了666
          回復 支持 反對

          使用道具 舉報

          3#
          發表于 2019-10-7 17:36:27 | 只看該作者
          大佬膜拜中………………
          話說為什么U盤這么容易丟固件呢!

          點評

          留意括號內容  詳情 回復 發表于 2019-10-7 18:41
          回復 支持 反對

          使用道具 舉報

          4#
           樓主| 發表于 2019-10-7 18:41:38 | 只看該作者
          toltee 發表于 2019-10-7 17:36
          大佬膜拜中………………
          話說為什么U盤這么容易丟固件呢!

          留意括號內容
          回復 支持 反對

          使用道具 舉報

          5#
          發表于 2019-10-7 18:43:39 | 只看該作者
          老飛機U盤CEO
          回復 支持 反對

          使用道具 舉報

          6#
          發表于 2019-10-7 18:48:11 | 只看該作者
          我的意思是平時遇到的U盤損壞的,大部分是丟固件的,U盤物理故障的概率相對比較少點!

          點評

          這個確實是丟固件  詳情 回復 發表于 2019-10-7 20:39
          回復 支持 反對

          使用道具 舉報

          7#
           樓主| 發表于 2019-10-7 20:39:41 | 只看該作者
          toltee 發表于 2019-10-7 18:48
          我的意思是平時遇到的U盤損壞的,大部分是丟固件的,U盤物理故障的概率相對比較少點! ...

          這個確實是丟固件

          點評

          有沒有什么可能,找個正常U盤把固件(韌體)部分dump出來然后刷進去讓盤重生呢??  詳情 回復 發表于 2019-10-7 21:13
          回復 支持 反對

          使用道具 舉報

          8#
          發表于 2019-10-7 21:01:13 | 只看該作者
          厲害,高端玩法
          回復 支持 反對

          使用道具 舉報

          9#
          發表于 2019-10-7 21:13:17 | 只看該作者
          1169044503 發表于 2019-10-7 20:39
          這個確實是丟固件

          有沒有什么可能,找個正常U盤把固件(韌體)部分dump出來然后刷進去讓盤重生呢??

          點評

          固件部分好像有部分在顆粒上有部分在主控里寫了的。。這就像群聯主控拆了顆粒也要找韌體一致版本的重新開卡(沒記錯的話)  詳情 回復 發表于 2019-10-7 23:09
          回復 支持 反對

          使用道具 舉報

          10#
           樓主| 發表于 2019-10-7 23:09:03 | 只看該作者
          perter 發表于 2019-10-7 21:13
          有沒有什么可能,找個正常U盤把固件(韌體)部分dump出來然后刷進去讓盤重生呢?? ...

          固件部分好像有部分在顆粒上有部分在主控里寫了的。。這就像群聯主控拆了顆粒也要找韌體一致版本的重新開卡(沒記錯的話)

          點評

          群聯的韌體和固件是分開的,燒到主控里面的叫韌體,燒到閃存里面的叫固件,不知道能不能給丟固件的U盤刷固件讓U盤起死回生。。。  詳情 回復 發表于 2019-10-8 21:43

          打賞

          參與人數 1M幣 +3 收起 理由
          perter + 3 群聯韌體和固件是分開的,燒到主控里面的叫.

          查看全部打賞

          回復 支持 1 反對 0

          使用道具 舉報

          11#
          發表于 2019-10-8 10:15:31 | 只看該作者
          高大上的操作。
          回復 支持 反對

          使用道具 舉報

          12#
          發表于 2019-10-8 21:43:24 | 只看該作者
          1169044503 發表于 2019-10-7 23:09
          固件部分好像有部分在顆粒上有部分在主控里寫了的。。這就像群聯主控拆了顆粒也要找韌體一致版本的重新開 ...

          群聯的韌體和固件是分開的,燒到主控里面的叫韌體,燒到閃存里面的叫固件,不知道能不能給丟固件的U盤刷固件讓U盤起死回生。。。

          點評

          群聯主控玩的少。群聯我只會用黑片工具開  詳情 回復 發表于 2019-10-8 22:26
          回復 支持 反對

          使用道具 舉報

          13#
           樓主| 發表于 2019-10-8 22:26:20 | 只看該作者
          perter 發表于 2019-10-8 21:43
          群聯的韌體和固件是分開的,燒到主控里面的叫韌體,燒到閃存里面的叫固件,不知道能不能給丟固件的U盤刷 ...

          群聯主控玩的少。群聯我只會用黑片工具開

          點評

          你這頭像的飛機,好像有點意思啊,最近阿sir到貨了什么新茶葉沒? 另外你這恢復手段玩得挺溜,贊一個~  詳情 回復 發表于 2019-10-18 23:24
          回復 支持 反對

          使用道具 舉報

          14#
          發表于 2019-10-13 06:40:00 來自手機瀏覽器 | 只看該作者
          這個故事告訴我們雞蛋不能放在一個籃子里
          回復 支持 反對

          使用道具 舉報

          15#
          發表于 2019-10-13 10:31:32 來自手機瀏覽器 | 只看該作者
          學習下,看起來高大上的
          回復 支持 反對

          使用道具 舉報

          16#
          發表于 2019-10-14 18:00:36 | 只看該作者
          請問老大,有沒有辦法恢復tf卡的,我手頭一張4G卡,突然某一天讀不了了,里面的資料很重要...基本都是舊相片....

          點評

          T卡要分析邏輯引腳的,可以私發我下T卡的金手指部分照片  詳情 回復 發表于 2019-10-15 11:36
          回復 支持 反對

          使用道具 舉報

          17#
           樓主| 發表于 2019-10-15 11:36:50 | 只看該作者
          xiedongdong 發表于 2019-10-14 18:00
          請問老大,有沒有辦法恢復tf卡的,我手頭一張4G卡,突然某一天讀不了了,里面的資料很重要...基本都是舊相 ...

          T卡要分析邏輯引腳的,可以私發我下T卡的金手指部分照片
          回復 支持 反對

          使用道具 舉報

          18#
          發表于 2019-10-16 12:40:13 | 只看該作者
          1169044503 發表于 2019-10-15 11:36
          T卡要分析邏輯引腳的,可以私發我下T卡的金手指部分照片

          謝謝,我等會去照相,再發給你。
          回復 支持 反對

          使用道具 舉報

          19#
          發表于 2019-10-16 14:55:27 | 只看該作者
          1169044503 發表于 2019-10-15 11:36
          T卡要分析邏輯引腳的,可以私發我下T卡的金手指部分照片

          因為私信里面沒有高級選項可以直接上傳圖片,所以只能跟帖發圖片,請你有空幫忙看下,感謝兄弟!
          回復 支持 反對

          使用道具 舉報

          20#
          發表于 2019-10-18 23:24:23 | 只看該作者
          1169044503 發表于 2019-10-8 22:26
          群聯主控玩的少。群聯我只會用黑片工具開

          你這頭像的飛機,好像有點意思啊,最近阿sir到貨了什么新茶葉沒?
          另外你這恢復手段玩得挺溜,贊一個~

          點評

          最近不是產茶的時候。我是良好市民  詳情 回復 發表于 2019-10-19 00:20
          回復 支持 反對

          使用道具 舉報

          您需要登錄后才可以回帖 登錄 | 立即注冊 微信登錄

          本版積分規則

          Archiver|手機版|小黑屋|關于我們|聯系我們|網站條款|數碼之家 ( 閩ICP備05031405號 )

          GMT+8, 2019-11-16 22:01 , Processed in 0.244348 second(s), 15 queries , MemCache On.

          Powered by Discuz!

          © 2001-2019 Comsenz Inc.

          快速回復 返回頂部 返回列表
          yy4408首播影院手机电影