数码之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 667|回复: 18

[群联] 来使用FE底层分析对金某顿U盘抢救(恢复)一下数据-----踩坑了

[复制链接]
发表于 2019-10-7 16:52:47 | 显示全部楼层 |阅读模式

马上注册,认识更多玩家好友,查阅更多资源,享有更多功能

您需要 登录 才可以下载或查看,没有帐号?立即注册 微信登录

x
说明下:本人只是业余玩玩的,个人兴趣爱好而已。本人承认技术不及专业搞数据恢复的大佬。
所以PC3K这些高贵仪器的专业大佬轻怼,当我是吹水就行了。
有大佬玩FE的可以回复指点一下小弟,个人承认在过程中会踩坑了。




使用工具:FLASH Extractor(屌丝级、业余级别恢复工具,PC3K大佬放过我吧)
使用辅助软件:WinHex
使用辅助参数表:IS903 FLASH配置信息表(也不一定是is903,其他也可以,只是903参数表看起来舒服)
辅助工具2:程序员计算器(用于计算一些十六进制转换)

说明:U盘是某香港网友寄过来的,32G 金某顿品牌,群联PS-2251-68主控,症状为丢固件,需要恢复里面的照片


0-1.JPG
本体

0-2.JPG
拆之,看起来是群联封装的大白(黑)片?
打标编码为FD32B08UCT1-B1 吧啦吧啦的


0-3.JPG
再用热风枪吹下FLASH,主控为群联PS2251-68清晰可见
为什么不用PC3K(一键分析?!)?我也想啊,PC3K贵啊,屌丝玩不起,没有的模型一样要分析

0-4.JPG
颗粒装好上FE的测试座,准备读取底层

1.jpg
读到Flash的前4位ID为 98 3A A8 92
前4位ID对应8T2J及8TDK两种颗粒,而官方给出的默认参数只有8T2J的直接使用读出来的底层数据会不正确
或者换句话说Dump出来的数据会有所缺失,第一次做的时候之前试过默认8T2J的默认参数出来的搜索到的文件非常少而且报错
这个颗粒实际可能是对应了 98 3A A8 92 76 50 对应-->>TH58TE(N)G7TDKTA20
因此要手动配置FLASH的参数


0.jpg
打开IS903的参数表,查找到了这个颗粒的参数
具体Block,page,sparesize这几个重要参数如图

2.jpg
使用程序员计算器,计算好FE上的page和block等(FE上用的是十六进制表示因此要进行进制转换)
另外,刚才也说了可能对应-->>TH58TE(N)G7TDKTA20
东芝里面E代表Toggle(同步),N代表非同步片(或异步片)
这个片片我直接用Toggle模式读了一下,直接读到了双字节,因此推测这片片是异步片
换为异步模式(即取消DDR勾)


3.jpg
底层读取完成,大概耗时1小时10分


4.jpg
踩坑中,这片片加载后用Check模式快速扫描查找PS2251的算法居然找不到,换了好几个区段查找也找不到算法


5.jpg
因此直接用ECC=ON 模式(即打开ECC纠错)进行查找XOR,这个坑踩中了
要增强ECC才能搜索到算法(这是多烂的片子啊)
搜索到了PS2251 1137_1133 这几个算法
最后经过调整发现PS2251 1137_1133 Xor 0561_86这个算法最适合这个主控及片片(恢复的文件比较全[剧透了])


6.jpg
使用ECC=ON大概检测依然会报大片红色(强ECC依然无法纠错的将会当做坏块处理掉)


7.jpg
使用科学计算器,对FLASH的block及page进行纠正
根据IS903上的参数表计算后转换十六进制
得出block=0x200000,page=0x2000

9.jpg
使用Join by dump 对2个CE进行连接 结果出了点情况
拉到底下发现block及page不正确,直接提示ERROR了
经过各种计算重新给block加了0x4000,十进制表示为16384个block
即现在的block=0x204000,page=0x2000


10.jpg
再次使用Find Mix查找没有报错了,证明page及block配置已正确
但是使用增强ECC依然可见大量红色的坏块

11.jpg
由于存在大量红色区段的坏块可能会影响数据读取及后续处理
因此我使用Fix Ecc error清除所有ECC错误部分


12.jpg
随后使用0x55aa/h/512/509来查找分区表
此处可见查找到了一个NTFS格式的分区标签,继续往下找,没找到新分区,因此这个盘可能只有一个分区

13.jpg
随后配置U盘逻辑参数
使用Ctrl+PageUp或者down调整block大小
直到出现连续的block区块为止
连续的区块类似:
0x4a5
0x4b5
0x4c5
0x4d5
0x4e5
......
但是我并没在这个U盘上查找到FAT表(只找到了NTFS分区标签),估计是FAT表已经丢失或者被破坏了

14.jpg



15.jpg
因此只能用低级扫描了,直接查找每个文件的标签来尝试恢复
这种好处是只要page和block配置正确文件都能正常找到标签对应的文件
坏处是不能查找到目录结构及文件名,因为目录树在FAT表上,FAT表找不到文件就会变成孤立的文件


16.jpg

查找到的结果如图,图片打码中


17.jpg
提取了一个PDF查看,文件正常



18.jpg
大致诊断后,使用SAVE IMAGE保存此镜像,套到Winhex上进一步分析


19.jpg
由于分区表已经查找不到了,所以直接使用Winhex对反编出来的U盘十六进制镜像进行文件提取
恢复出的大致情况如图中打码部分

20.jpg
至此恢复结束,Winhex上报告恢复出了约3482个文件,731个不完整或者损坏,一小部分可能存在不完整情况
给网友确认后,主要的都得到了恢复,恢复率约80%


下面送上分析过的模型及颗粒参数吧

PS2251-68-TH58NVG8TDKTA模型.rar (716 Bytes, 下载次数: 0)

打赏

参与人数 5M币 +48 收起 理由
xiaoj1972 + 9 優秀文章
拿糖糖换媳妇 + 16
genieg + 3 優秀文章
aping365 + 10
cxw0102 + 10 優秀文章

查看全部打赏

发表于 2019-10-7 17:16:50 | 显示全部楼层
飞机大佬玩的越来越溜了666
回复 支持 反对

使用道具 举报

发表于 2019-10-7 17:36:27 | 显示全部楼层
大佬膜拜中………………
话说为什么U盘这么容易丢固件呢!

点评

留意括号内容  详情 回复 发表于 2019-10-7 18:41
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-10-7 18:41:38 | 显示全部楼层
toltee 发表于 2019-10-7 17:36
大佬膜拜中………………
话说为什么U盘这么容易丢固件呢!

留意括号内容
回复 支持 反对

使用道具 举报

发表于 2019-10-7 18:43:39 | 显示全部楼层
老飞机U盘CEO
回复 支持 反对

使用道具 举报

发表于 2019-10-7 18:48:11 | 显示全部楼层
我的意思是平时遇到的U盘损坏的,大部分是丢固件的,U盘物理故障的概率相对比较少点!

点评

这个确实是丢固件  详情 回复 发表于 2019-10-7 20:39
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-10-7 20:39:41 | 显示全部楼层
toltee 发表于 2019-10-7 18:48
我的意思是平时遇到的U盘损坏的,大部分是丢固件的,U盘物理故障的概率相对比较少点! ...

这个确实是丢固件

点评

有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢??  详情 回复 发表于 2019-10-7 21:13
回复 支持 反对

使用道具 举报

发表于 2019-10-7 21:01:13 | 显示全部楼层
厉害,高端玩法
回复 支持 反对

使用道具 举报

发表于 2019-10-7 21:13:17 | 显示全部楼层
1169044503 发表于 2019-10-7 20:39
这个确实是丢固件

有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢??

点评

固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开卡(没记错的话)  详情 回复 发表于 2019-10-7 23:09
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-10-7 23:09:03 | 显示全部楼层
perter 发表于 2019-10-7 21:13
有没有什么可能,找个正常U盘把固件(韧体)部分dump出来然后刷进去让盘重生呢?? ...

固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开卡(没记错的话)

点评

群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷固件让U盘起死回生。。。  详情 回复 发表于 2019-10-8 21:43

打赏

参与人数 1M币 +3 收起 理由
perter + 3 群联韧体和固件是分开的,烧到主控里面的叫.

查看全部打赏

回复 支持 1 反对 0

使用道具 举报

发表于 2019-10-8 10:15:31 | 显示全部楼层
高大上的操作。
回复 支持 反对

使用道具 举报

发表于 2019-10-8 21:43:24 | 显示全部楼层
1169044503 发表于 2019-10-7 23:09
固件部分好像有部分在颗粒上有部分在主控里写了的。。这就像群联主控拆了颗粒也要找韧体一致版本的重新开 ...

群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷固件让U盘起死回生。。。

点评

群联主控玩的少。群联我只会用黑片工具开  详情 回复 发表于 2019-10-8 22:26
回复 支持 反对

使用道具 举报

 楼主| 发表于 2019-10-8 22:26:20 | 显示全部楼层
perter 发表于 2019-10-8 21:43
群联的韧体和固件是分开的,烧到主控里面的叫韧体,烧到闪存里面的叫固件,不知道能不能给丢固件的U盘刷 ...

群联主控玩的少。群联我只会用黑片工具开
回复 支持 反对

使用道具 举报

发表于 4 天前 来自手机浏览器 | 显示全部楼层
这个故事告诉我们鸡蛋不能放在一个篮子里
回复 支持 反对

使用道具 举报

发表于 4 天前 来自手机浏览器 | 显示全部楼层
学习下,看起来高大上的
回复 支持 反对

使用道具 举报

发表于 3 天前 | 显示全部楼层
请问老大,有没有办法恢复tf卡的,我手头一张4G卡,突然某一天读不了了,里面的资料很重要...基本都是旧相片....

点评

T卡要分析逻辑引脚的,可以私发我下T卡的金手指部分照片  详情 回复 发表于 前天 11:36
回复 支持 反对

使用道具 举报

 楼主| 发表于 前天 11:36 | 显示全部楼层
xiedongdong 发表于 2019-10-14 18:00
请问老大,有没有办法恢复tf卡的,我手头一张4G卡,突然某一天读不了了,里面的资料很重要...基本都是旧相 ...

T卡要分析逻辑引脚的,可以私发我下T卡的金手指部分照片
回复 支持 反对

使用道具 举报

发表于 昨天 12:40 | 显示全部楼层
1169044503 发表于 2019-10-15 11:36
T卡要分析逻辑引脚的,可以私发我下T卡的金手指部分照片

谢谢,我等会去照相,再发给你。
回复 支持 反对

使用道具 举报

发表于 昨天 14:55 | 显示全部楼层
1169044503 发表于 2019-10-15 11:36
T卡要分析逻辑引脚的,可以私发我下T卡的金手指部分照片

因为私信里面没有高级选项可以直接上传图片,所以只能跟帖发图片,请你有空帮忙看下,感谢兄弟! IMG_3692.JPG IMG_3694.JPG
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册 微信登录

本版积分规则

Archiver|手机版|小黑屋|关于我们|联系我们|网站条款|数码之家 ( 闽ICP备05031405号 )

GMT+8, 2019-10-17 04:04 , Processed in 0.189003 second(s), 13 queries , MemCache On.

Powered by Discuz!

© 2001-2019 Comsenz Inc.

快速回复 返回顶部 返回列表