Нередко пользователи, впервые обращающиеся в нашу лабораторию для восстановления данных с USB флешек, не могут определить, обычный у них накопитель или монолит. В этом видео мы проведём обзор восстановления информации с поломанной обычной, не монокристальной USB флешки.
Разобрав корпус мы видим текстолит, микросхемы памяти и микроконтроллер. Всё в виде отдельных чипов.
Первым делом требуется выпаять микросхемы памяти для дальнейшего прямого считывания дампов с них. Демонтаж микросхем памяти производится с помощью термовоздушной паяльной станции. Если в USB Flash два чипа NAND, то чаще всего первый это тот, который рядом с микроконтроллером а второй на обратной стороне платы.
Сняв оба чипа памяти ставим их в колодку и подключив к ридеру приступаем к чтению с последующим разбором.
Определяем идентификатор микросхем, читаем оба чипа. На этапе чтения найдены вставки, своего рода таблица дефектных блоков. И вот начинаются первые сюрпризы. Смотрим битовое представление дампов и видим нехарактерную пустоту в начале блока данных, неровная линия в конце.
Пытаемся определить ECC, ошибка. Смотрим шестнадцатеричное представление блока, убеждаемся в необходимости проведения предварительной коррекции размера страницы. Убираем неиспользованные области в начале и конце. Проверяем корректность путём определения возможности ECC коррекции, определилось! Значит найденные преобразования были правильными.
После базовой коррекции ECC часто необходимо дополнительно улучшить результат путем прочитывания нескорректированных страниц и блоков. Это может занять от нескольких часов до нескольких дней или даже недель, в случае если ячейки памяти в чипах NAND оказались сильно изношены.
ECC скорректировано по-максимуму и можно устранять дальнейшие предобразования. Сперва определяем маску XOR и геометрию сектора, потом определяем интерлив, проводим сборку по таблицам трансляции и проверяем что получилось. Получилось не очень, явно блоки не на своих местах выстроились.
Ещё некоторое время на исследования, определён верный порядок дампов, ещё одна попытка сборки. Пользовательская информация полностью восстановлена.
Не забудьте подписаться на наш канал в Youtube.