Восстановление данных из-под компаунда

в 7:55, , рубрики: восстановление данных с флешки, я пиарюсь

image
Ух и рискую нарваться на минуса за этот каламбур «из-под», но надеюсь хабрапублика простит, потому что пост по делу. Текста мало, но много смысла и картинок.

Это история про NoName USB флешку бескорпусном исполнении, которую Windows в один прекрасный момент начал предлагать отформатировать и определять как 8Мб.
Микросхему невозможно спаять… Как восстановить данные? Добро пожаловать под кат..

Продолжая тему статей и песни Димы Би.: «И невозможное возможно», рассмотрим случай, когда восстановление данных на первый взгляд кажется невозможным. В предыдущей статье флешка отдавалась своим полным объёмом, но во всех секторах были нули, однако упрямым инженерам удалось восстановить данные из пустого места.

На этой флешке в явном виде написано 4Гб, но Windows определяет её как 8Мб.

image

И в каждом секторе этих 8 мегабайт, повторяется одна и та же информация контроллера, а не пользовательские данные.

image

Такое поведение характерно для контроллера в случае если количество нечитаемых ячеек памяти превысило его «ожидания». Для восстановления данных нужно спаять микросхему памяти и шаманить различными программно-аппаратными комплексами.

Но этот кейс особенный, потому что кристалл памяти залит компаундом, а не в корпусном исполнении. Шеф, что делать?

Нам везёт и контроллер не «капля». Можно прочитать маркировку и обратиться к datasheet за распиновкой контактов к памяти NAND.

image

Демонтируем контроллер и припаяемся проводками на кассету DATALABS для подключения к ПАК PC-3000Flash

image
Проводки 0.2 мм не видно

Читаем ID микросхемы:

image

И вот так сюрприз! Она 8Гб!

Понятно, эта флешка сделана из «отбраковки». То есть уже изначально из плохой памяти. Алиэкспрессные братья купили бракованные чипы на 8Гб и сделали на их основе 4гб флешки.

Про такие поделки можно отдельный пост сделать, но а этот о восстановлении данных.

Доступ к памяти мы получили, дальше анализируем дамп, вычитаем лишние блоки, собираем валидные в нужной последовательности, и аллилуйя! Данные на месте, не без повреждений конечно, но основной массив данных в порядке.

Картинку с данными постить нельзя, у нас в конторе с конфиденциальностью всё строго.

За корявость статьи сильно прошу не пинать, автор всё-таки технарь, а не копирайтер.

P.S. Мой коллега по цеху в пятницу написал про фэйковые флешки и в комментах кто-то отметил что Хабр уже не тот, что технические статьи не плюсуют, а плюсуют пуки единорога.
Надеюсь выше представленная информация (мини солюшн) не похожа на бред и будет кому-то интересна и полезна.

Автор: Силкин Алексей

Источник


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js