数码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 579|回复: 16
打印 上一主题 下一主题

sb36.com: [群联] 来使用FE底层分析对金某顿U盘抢救(恢复)一下数据-----踩坑了

[复制链接]
跳转到指定楼层
1#
发表于 2019-10-7 16:52:47 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,认识更多玩家好友,查阅更多资源,享有更多功能

您需要 登录 才可以下载或查看,没有帐号?立即注册 微信登录

x
说明下:本人只是业余玩玩的,个人兴趣爱好而已。本人承认技术不及专业搞数据恢复的大佬。
所以PC3K这些高贵仪器的专业大佬轻怼,当我是吹水就行了。
有大佬玩FE的可以回复指点一下小弟,个人承认在过程中会踩坑了。




使用工具:FLASH Extractor(屌丝级、业余级别恢复工具,PC3K大佬放过我吧)
使用辅助软件:WinHex
使用辅助参数表:IS903 FLASH配置信息表(也不一定是is903,其他也可以,只是903参数表看起来舒服)
辅助工具2:程序员计算器(用于计算一些十六进制转换)

说明:U盘是某香港网友寄过来的,32G 金某顿品牌,群联PS-2251-68主控,症状为丢固件,需要恢复里面的照片



本体


拆之,看起来是群联封装的大白(黑)片?
打标编码为FD32B08UCT1-B1 吧啦吧啦的



再用热风枪吹下FLASH,主控为群联PS2251-68清晰可见
为什么不用PC3K(一键分析?!)?我也想啊,PC3K贵啊,屌丝玩不起,没有的模型一样要分析


颗粒装好上FE的测试座,准备读取底层


读到Flash的前4位ID为 98 3A A8 92
前4位ID对应8T2J及8TDK两种颗粒,而官方给出的默认参数只有8T2J的直接使用读出来的底层数据会不正确
或者换句话说Dump出来的数据会有所缺失,第一次做的时候之前试过默认8T2J的默认参数出来的搜索到的文件非常少而且报错
这个颗粒实际可能是对应了 98 3A A8 92 76 50 对应-->>TH58TE(N)G7TDKTA20
因此要手动配置FLASH的参数



打开IS903的参数表,查找到了这个颗粒的参数
具体Block,page,sparesize这几个重要参数如图


使用程序员计算器,计算好FE上的page和block等(FE上用的是十六进制表示因此要进行进制转换)
另外,刚才也说了可能对应-->>TH58TE(N)G7TDKTA20
东芝里面E代表Toggle(同步),N代表非同步片(或异步片)
这个片片我直接用Toggle模式读了一下,直接读到了双字节,因此推测这片片是异步片
换为异步模式(即取消DDR勾)



底层读取完成,大概耗时1小时10分



踩坑中,这片片加载后用Check模式快速扫描查找PS2251的算法居然找不到,换了好几个区段查找也找不到算法



因此直接用ECC=ON 模式(即打开ECC纠错)进行查找XOR,这个坑踩中了
要增强ECC才能搜索到算法(这是多烂的片子啊)
搜索到了PS2251 1137_1133 这几个算法
最后经过调整发现PS2251 1137_1133 Xor 0561_86这个算法最适合这个主控及片片(恢复的文件比较全[剧透了])



使用ECC=ON大概检测依然会报大片红色(强ECC依然无法纠错的将会当做坏块处理掉)



使用科学计算器,对FLASH的block及page进行纠正
根据IS903上的参数表计算后转换十六进制
得出block=0x200000,page=0x2000


使用Join by dump 对2个CE进行连接 结果出了点情况
拉到底下发现block及page不正确,直接提示ERROR了
经过各种计算重新给block加了0x4000,十进制表示为16384个block
即现在的block=0x204000,page=0x2000



再次使用Find Mix查找没有报错了,证明page及block配置已正确
但是使用增强ECC依然可见大量红色的坏块


由于存在大量红色区段的坏块可能会影响数据读取及后续处理
因此我使用Fix Ecc error清除所有ECC错误部分



随后使用0x55aa/h/512/509来查找分区表
此处可见查找到了一个NTFS格式的分区标签,继续往下找,没找到新分区,因此这个盘可能只有一个分区


随后配置U盘逻辑参数
使用Ctrl+PageUp或者down调整block大小
直到出现连续的block区块为止
连续的区块类似:
0x4a5
0x4b5
0x4c5
0x4d5
0x4e5
......
但是我并没在这个U盘上查找到FAT表(只找到了NTFS分区标签),估计是FAT表已经丢失或者被破坏了






因此只能用低级扫描了,直接查找每个文件的标签来尝试恢复
这种好处是只要page和block配置正确文件都能正常找到标签对应的文件
坏处是不能查找到目录结构及文件名,因为目录树在FAT表上,FAT表找不到文件就会变成孤立的文件




查找到的结果如图,图片打码中



提取了一个PDF查看,文件正常




大致诊断后,使用SAVE IMAGE保存此镜像,套到Winhex上进一步分析



由于分区表已经查找不到了,所以直接使用Winhex对反编出来的U盘十六进制镜像进行文件提取
恢复出的大致情况如图中打码部分


至此恢复结束,Winhex上报告恢复出了约3482个文件,731个不完整或者损坏,一小部分可能存在不完整情况
给网友确认后,主要的都得到了恢复,恢复率约80%


下面送上分析过的模型及颗粒参数吧

PS2251-68-TH58NVG8TDKTA模型.rar (716 Bytes, 下载次数: 0)
TH58TVG8TDKTA20.rar (430 Bytes, 下载次数: 0)

打赏

参与人数 5M币 +48 收起 理由
xiaoj1972 + 9 優秀文章
拿糖糖换媳妇 + 16
genieg + 3 優秀文章
aping365 + 10
cxw0102 + 10 優秀文章

查看全部打赏

2#
发表于 2019-10-7 17:16:50 | 只看该作者
飞机大佬玩的越来越溜了666
3#
发表于 2019-10-7 17:36:27 | 只看该作者
大佬膜拜中………………
话说为什么U盘这么容易丢固件呢!

点评

留意括号内容  详情 回复 发表于 2019-10-7 18:41
4#
 楼主| 发表于 2019-10-7 18:41:38 | 只看该作者
toltee 发表于 2019-10-7 17:36
大佬膜拜中………………
话说为什么U盘这么容易丢固件呢!

留意括号内容
5#
发表于 2019-10-7 18:43:39 | 只看该作者
老飞机U盘CEO
6#
发表于 2019-10-7 18:48:11 | 只看该作者
我的意思是平时遇到的U盘损坏的,大部分是丢固件的,U盘物理故障的概率相对比较少点!

点评

这个确实是丢固件  详情 回复 发表于 2019-10-7 20:39
7#
 楼主| 发表于 2019-10-7 20:39:41 | 只看该作者
toltee 发表于 2019-10-7 18:48
我的意思是平时遇到的U盘损坏的,大部分是丢固件的,U盘物理故障的概率相对比较少点! ...

这个确实是丢固件

点评

有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢??  详情 回复 发表于 2019-10-7 21:13
8#
发表于 2019-10-7 21:01:13 | 只看该作者
厉害,高端玩法
9#
发表于 2019-10-7 21:13:17 | 只看该作者
1169044503 发表于 2019-10-7 20:39
这个确实是丢固件

有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢??

点评

固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开卡(没记错的话)  详情 回复 发表于 2019-10-7 23:09
10#
 楼主| 发表于 2019-10-7 23:09:03 | 只看该作者
perter 发表于 2019-10-7 21:13
有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢?? ...

固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开卡(没记错的话)

点评

群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷固件让U盘起死回生。。。  详情 回复 发表于 7 天前

打赏

参与人数 1M币 +3 收起 理由
perter + 3 群联韧体和固件是分开的,烧到主控里面的叫.

查看全部打赏

11#
发表于 7 天前 | 只看该作者
高大上的操作。
12#
发表于 7 天前 | 只看该作者
1169044503 发表于 2019-10-7 23:09
固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开 ...

群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷固件让U盘起死回生。。。

点评

群联主控玩的少。群联我只会用黑片工具开  详情 回复 发表于 7 天前
13#
 楼主| 发表于 7 天前 | 只看该作者
perter 发表于 2019-10-8 21:43
群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷 ...

群联主控玩的少。群联我只会用黑片工具开
14#
发表于 前天 06:40 来自手机浏览器 | 只看该作者
这个故事告诉我们鸡蛋不能放在一个篮子里
15#
发表于 前天 10:31 来自手机浏览器 | 只看该作者
学习下,看起来高大上的
16#
发表于 昨天 18:00 | 只看该作者
请问老大,有没有办法恢复tf卡的,我手头一张4G卡,突然某一天读不了了,里面的资料很重要...基本都是旧相片....

点评

T卡要分析逻辑引脚的,可以私发我下T卡的金手指部分照片  详情 回复 发表于 7 小时前
17#
 楼主| 发表于 7 小时前 | 只看该作者
xiedongdong 发表于 2019-10-14 18:00
请问老大,有没有办法恢复tf卡的,我手头一张4G卡,突然某一天读不了了,里面的资料很重要...基本都是旧相 ...

T卡要分析逻辑引脚的,可以私发我下T卡的金手指部分照片
您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

Archiver|手机版|小黑屋|关于我们|联系我们|网站条款|数码之家 ( 闽ICP备05031405号 )

GMT+8, 2019-10-15 18:44 , Processed in 0.244920 second(s), 13 queries , MemCache On.

Powered by Discuz!

© 2001-2019 Comsenz Inc.

快速回复 菲律宾申博游戏怎么登入 返回列表
申博游戏平台登入 申博在线现金充值 申博怎么游戏 申博微信支付充值 申博在线开户 太阳城申请提款
申博360官网登入 申博会员怎么登入不了 菲律宾申博在线网站 申博怎么提款 申博在线手机下载 菲律宾申博太阳城娱乐
www.msc11.com 太阳城申博登入 太阳城娱乐金沙 www.H88.COM 申博138开户登入 申博管理网网址
菲律宾申博在线登入官网登入 www.msc33.com 申博太阳城亚洲登入 菲律宾申博国际 js7799.com 申博手机怎么玩
百度