【情况简述】
故障优盘型号: 台电16G 优盘。优盘损坏通电识别,磁盘管理无媒体
收到硬盘后经过风枪加热后取出FLASH芯片。因这一步属于基本操作,不再赘述。
优盘参数如下:
主控AU6998,
FLASH ID:ADDE14A7.
容量:16G,双芯片
检测结果:U盘主控损坏
【数据恢复过程】
拆芯片读取芯片数据
页大小18048字节,块大小8192扇区
将芯片数据转化为图形、拖动图形,可以看到大部分区域为雪花,只有少量规律数据,说明是有XOR加密
提取出整个块XOR加密数据,对原始数据进行解密
找到FAT表链,分析固件区大小72.每个数据区大小为1024
分析完整个页之后
页结构为(1024+72)*16
分离固件区和数据区后
在数据区上找到FAT表链位置。
分析FAT表链发现,在整个块上的FAT表链都是连续。
说明没有分离结合。
该U盘有2颗芯片,读出来就有2个dump。既然块内是没有分离结合的,那么就可以直接将两个dump串接起来。
没有分离结合,那么块的大小为8192,设置步进8192查看固件区。
O号块的block number 8000.那么block number在512 513字节,掩码为0X8FFF,字节顺序为3412
按顺序将块排列之后,发现有丢失块。最终出现的目录有缺失
【数据恢复结果】
丢失的块并不多,说明这些目录下的文件还有可能存在,可以通过对文件系统的修复找到部分目录丢失的文件。
里面的文件已经找到。
