永利游戏开户登入:

 找回密码
 立即注册

只需一步,快速开始

微信扫一扫,快速登录

搜索
查看: 551|回复: 15

永利游戏开户登入: [群联] 来使用FE底层分析对金某顿U盘抢救(恢复)一下数据-----踩坑了

www.vni99.com登入
1#
发表于 2019-10-7 16:52:47 | 只看该作者 |倒序浏览 |阅读模式

马上注册,认识更多玩家好友,查阅更多资源,享有更多功能

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
说明下:本人只是业余玩玩的,个人兴趣爱好而已。本人承认技术不及专业搞数据恢复的大佬。
所以PC3K这些高贵仪器的专业大佬轻怼,当我是吹水就行了。
有大佬玩FE的可以回复指点一下小弟,个人承认在过程中会踩坑了。




使用工具:FLASH Extractor(屌丝级、业余级别恢复工具,PC3K大佬放过我吧)
使用辅助软件:WinHex
使用辅助参数表:IS903 FLASH配置信息表(也不一定是is903,其他也可以,只是903参数表看起来舒服)
辅助工具2:程序员计算器(用于计算一些十六进制转换)

说明:U盘是某香港网友寄过来的,32G 金某顿品牌,群联PS-2251-68主控,症状为丢固件,需要恢复里面的照片



本体


拆之,看起来是群联封装的大白(黑)片?
打标编码为FD32B08UCT1-B1 吧啦吧啦的



再用热风枪吹下FLASH,主控为群联PS2251-68清晰可见
为什么不用PC3K(一键分析?!)?我也想啊,PC3K贵啊,屌丝玩不起,没有的模型一样要分析


颗粒装好上FE的测试座,准备读取底层


读到Flash的前4位ID为 98 3A A8 92
前4位ID对应8T2J及8TDK两种颗粒,而官方给出的默认参数只有8T2J的直接使用读出来的底层数据会不正确
或者换句话说Dump出来的数据会有所缺失,第一次做的时候之前试过默认8T2J的默认参数出来的搜索到的文件非常少而且报错
这个颗粒实际可能是对应了 98 3A A8 92 76 50 对应-->>TH58TE(N)G7TDKTA20
因此要手动配置FLASH的参数



打开IS903的参数表,查找到了这个颗粒的参数
具体Block,page,sparesize这几个重要参数如图


使用程序员计算器,计算好FE上的page和block等(FE上用的是十六进制表示因此要进行进制转换)
另外,刚才也说了可能对应-->>TH58TE(N)G7TDKTA20
东芝里面E代表Toggle(同步),N代表非同步片(或异步片)
这个片片我直接用Toggle模式读了一下,直接读到了双字节,因此推测这片片是异步片
换为异步模式(即取消DDR勾)



底层读取完成,大概耗时1小时10分



踩坑中,这片片加载后用Check模式快速扫描查找PS2251的算法居然找不到,换了好几个区段查找也找不到算法



因此直接用ECC=ON 模式(即打开ECC纠错)进行查找XOR,这个坑踩中了
要增强ECC才能搜索到算法(这是多烂的片子啊)
搜索到了PS2251 1137_1133 这几个算法
最后经过调整发现PS2251 1137_1133 Xor 0561_86这个算法最适合这个主控及片片(恢复的文件比较全[剧透了])



使用ECC=ON大概检测依然会报大片红色(强ECC依然无法纠错的将会当做坏块处理掉)



使用科学计算器,对FLASH的block及page进行纠正
根据IS903上的参数表计算后转换十六进制
得出block=0x200000,page=0x2000


使用Join by dump 对2个CE进行连接 结果出了点情况
拉到底下发现block及page不正确,直接提示ERROR了
经过各种计算重新给block加了0x4000,十进制表示为16384个block
即现在的block=0x204000,page=0x2000



再次使用Find Mix查找没有报错了,证明page及block配置已正确
但是使用增强ECC依然可见大量红色的坏块


由于存在大量红色区段的坏块可能会影响数据读取及后续处理
因此我使用Fix Ecc error清除所有ECC错误部分



随后使用0x55aa/h/512/509来查找分区表
此处可见查找到了一个NTFS格式的分区标签,继续往下找,没找到新分区,因此这个盘可能只有一个分区


随后配置U盘逻辑参数
使用Ctrl+PageUp或者down调整block大小
直到出现连续的block区块为止
连续的区块类似:
0x4a5
0x4b5
0x4c5
0x4d5
0x4e5
......
但是我并没在这个U盘上查找到FAT表(只找到了NTFS分区标签),估计是FAT表已经丢失或者被破坏了






因此只能用低级扫描了,直接查找每个文件的标签来尝试恢复
这种好处是只要page和block配置正确文件都能正常找到标签对应的文件
坏处是不能查找到目录结构及文件名,因为目录树在FAT表上,FAT表找不到文件就会变成孤立的文件




查找到的结果如图,图片打码中



提取了一个PDF查看,文件正常




大致诊断后,使用SAVE IMAGE保存此镜像,套到Winhex上进一步分析



由于分区表已经查找不到了,所以直接使用Winhex对反编出来的U盘十六进制镜像进行文件提取
恢复出的大致情况如图中打码部分


至此恢复结束,Winhex上报告恢复出了约3482个文件,731个不完整或者损坏,一小部分可能存在不完整情况
给网友确认后,主要的都得到了恢复,恢复率约80%


下面送上分析过的模型及颗粒参数吧

PS2251-68-TH58NVG8TDKTA模型.rar (716 Bytes, 下载次数: 0)
TH58TVG8TDKTA20.rar (430 Bytes, 下载次数: 0)

打赏

参与人数 5M币 +48 收起 理由
xiaoj1972 + 9 優秀文章
拿糖糖换媳妇 + 16
genieg + 3 優秀文章
aping365 + 10
cxw0102 + 10 優秀文章

查看全部打赏

2#
发表于 2019-10-7 17:16:50 | 只看该作者
飞机大佬玩的越来越溜了666
3#
发表于 2019-10-7 17:36:27 | 只看该作者
大佬膜拜中………………
话说为什么U盘这么容易丢固件呢!

点评

留意括号内容  详情 回复 发表于 2019-10-7 18:41
4#
 楼主| 发表于 2019-10-7 18:41:38 | 只看该作者
toltee 发表于 2019-10-7 17:36
大佬膜拜中………………
话说为什么U盘这么容易丢固件呢!

留意括号内容
5#
发表于 2019-10-7 18:43:39 | 只看该作者
老飞机U盘CEO
6#
发表于 2019-10-7 18:48:11 | 只看该作者
我的意思是平时遇到的U盘损坏的,大部分是丢固件的,U盘物理故障的概率相对比较少点!

点评

这个确实是丢固件  详情 回复 发表于 2019-10-7 20:39
7#
 楼主| 发表于 2019-10-7 20:39:41 | 只看该作者
toltee 发表于 2019-10-7 18:48
我的意思是平时遇到的U盘损坏的,永利游戏开户登入:大部分是丢固件的,U盘物理故障的概率相对比较少点! ...

这个确实是丢固件

点评

有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢??  详情 回复 发表于 2019-10-7 21:13
8#
发表于 2019-10-7 21:01:13 | 只看该作者
厉害,高端玩法
9#
发表于 2019-10-7 21:13:17 | 只看该作者
1169044503 发表于 2019-10-7 20:39
这个确实是丢固件

有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢??

点评

固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开卡(没记错的话)  详情 回复 发表于 2019-10-7 23:09
10#
 楼主| 发表于 2019-10-7 23:09:03 | 只看该作者
perter 发表于 2019-10-7 21:13
有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢?? ...

固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开卡(没记错的话)

点评

群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷固件让U盘起死回生。。。  详情 回复 发表于 7 天前

打赏

参与人数 1M币 +3 收起 理由
perter + 3 群联韧体和固件是分开的,烧到主控里面的叫.

查看全部打赏

11#
发表于 7 天前 | 只看该作者
高大上的操作。
12#
发表于 7 天前 | 只看该作者
1169044503 发表于 2019-10-7 23:09
固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开 ...

群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷固件让U盘起死回生。。。

点评

群联主控玩的少。群联我只会用黑片工具开  详情 回复 发表于 7 天前
13#
 楼主| 发表于 7 天前 | 只看该作者
perter 发表于 2019-10-8 21:43
群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷 ...

群联主控玩的少。群联我只会用黑片工具开
14#
发表于 前天 06:40 来自手机浏览器 | 只看该作者
这个故事告诉我们鸡蛋不能放在一个篮子里
15#
发表于 前天 10:31 来自手机浏览器 | 只看该作者
学习下,看起来高大上的
16#
发表于 昨天 18:00 | 只看该作者
请问老大,有没有办法恢复tf卡的,我手头一张4G卡,突然某一天读不了了,里面的资料很重要...基本都是旧相片....
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|关于我们|联系我们|网站条款|数码之家 ( 闽ICP备05031405号 )

GMT+8, 2019-10-15 02:49 , Processed in 0.186754 second(s), 12 queries , MemCache On.

Powered by www.vni99.com登入

© 2001-2019 Comsenz Inc.

快速回复 返回顶部 返回列表
188申博直属现金网网上娱乐场 免佣庄6点赢几率登入 金沙在线管理登入 澳门太阳城MG电子计划群大全 永乐彩票集团
欧洲杯投注网fzlso 江山上海时时乐官方网 葡京鱼虾蟹骰宝开奖结果 奥斯卡BBIN波音馆官网 娱乐818
奥斯卡安徽快3最牛攻略 永利香港六合彩走势 新世纪广东快乐十分计划群大全 新世纪OG东方馆时时彩q群 阿玛尼幸运28最牛攻略
mg老太太赛车 皇家江西11选5走势 申博138娱乐 女神国际VR3分彩开奖时刻表 hb女王之女王