效率源FLASH闪存数据恢复大师数据恢复案例：UP10-UT0704-HY27UU088G5M-1-2

效率源技术部05 · 发表于 2009-8-3 10:25:00

效率源FLASH闪存恢复大师数据恢复案例：UP10-UT0704-HY27UU088G5M-1-2

本文介绍如何使用FLASH恢复大师恢复U盘数据。案例中的U盘主控型号为UP10-UT0704，FLASH芯片为HYNIX生产，型号是HY27UU088G5M。U盘数据恢复有三个步骤：取芯片及芯片清理，读取芯片数据和数据组合。其中，前两个步骤非常容易，难点就在于数据组合；这也是本案例重点讲解的内容。
一、
取芯片及芯片清理
要取下芯片，必备的工具有：热风枪，助焊剂，镊子等，这一过程中需要注意的问题是热风枪的温度不要过高，以免烧坏芯片。
第一步，将FLASH芯片放到子板上（建议在桌子上垫一个子板以免烧坏桌子），在芯片针脚两边粘上少量助焊剂。
第二步，打开热风枪开关，温度调到300度左右，左手拿热风枪，右手拿镊子。热风枪对准芯片（距离不要太近），同时手作平行移动，以便芯片均匀受热；右手拿镊子拨弄芯片，检测芯片是否已经吹落。这一步骤可以在损坏的FLASH芯片上多作练习。
第三步，将FALSH芯片吹落以后，需要用酒精清洗并将针脚刮平。用一小容器装入少量酒精，将FLASH芯片装入，并用毛刷清洗针脚。清洗完针脚以后，使用刀片将针脚刮平。如果有针脚粘连，还必须用电烙铁将其焊开。至此，取芯片以及芯片清理工作完成。
二、读取芯片数据
这个阶段工作包括将FLASH芯片正确放到芯片夹具上，创建项目以及芯片数据读取。需要注意的是正确放置芯片的针脚。
第一步，将FLASH芯片正确放到芯片夹具上。先将底座的扳手向上扳，芯片夹具插入底座（注意针脚要对应），然后把扳手向下扳，固定夹具。注意，夹具上标记为倒三角形一边朝向底座USB接口，另一边朝向底座扳手。
固定好芯片夹具以后，将FLASH芯片放入夹具。正确操作方法：向下按住夹具的弹簧槽，然后将芯片放入。需要注意芯片的小圆点应该对应夹具的倒三角。芯片放入以后，松开弹簧槽以固定芯片。
第二步，创建项目。连接FLASH控制终端到电脑，运行“flashEXP.exe”程序，进入“项目管理”界面。要创建一个项目，需要输入的信息包括设备类型，主控型号，存储芯片个数以及注释等。
1．
设备类型
支持的设备类型包括：U盘(USB DISK)，SD卡，CF卡和记忆棒(Memory Stick),本例中的设备是U盘，因而选择USB DISK。
2. 主控型号
设备主控型号记录在主控芯片上，本例中为UP10-UT0704。
3. 存储芯片个数
电路板上FLASH芯片个数，本例中为1.
4.注释
对客户，时间等注释，如本例的2009-07-29， XX客户。
其实，这些信息对于数据的读取并无影响，只是为了便于管理。输入完所有信息后，点击“自动获取芯片参数”，程序会检测并识别芯片参数。
如果芯片参数没有正确识别，说明有几种情况：一、用热风枪吹芯片时损坏了芯片，这种可能性极小，一般把握好热风枪的温度，芯片都不容易损坏；二、FLASH芯片针脚没有清洗干净或者和芯片夹具接触不好。这种情况，重新清洗并用刀片刮平针脚后，一般都能够正确识别。三、芯片本身确实已经损坏。这种情况是没有办法的。
获取芯片参数以后，点击“保存”，程序将所有信息保存为项目文件“Project.ini”中。当用户需要再次使用该案例时，就只需装入该项目文件就可以了。
第三步，读取芯片数据。当用户在“项目管理”界面中点击“保存”时，程序会弹出界面“存贮芯片读取”。
1、
通道选择。程序会自动从通道1（CE1）开始顺序读取数据，无需用户选择。
2、
读取速度。程序提供30ms到90ms的数据船速速度，可供用户自己选择。一般，建议客户使用默认值36ms。
3、
芯片选择。对于多芯片的设备，1个芯片数据读完以后，用户需要换上另一块芯片读数据。这里就需要选择芯片的顺序。芯片顺序在设备电路板上有标注。（程序里，芯片顺序从0开始编号）。
4、
分析情况。点击“读取”以后，程序会显示扫描到的目录数以及目录是否加密等信息，同时在Log里显示扫描事件（用户只需关注扫描到的目录以及是否加密）。
芯片数据读取完毕后，程序会在相应的项目目录下生成对应的二进制文件。文件格式为“FLASHCHIPx_x.bin”，其中前一个”x”代表芯片顺序，后一个代表通道顺序。每一个芯片的每一个通道都有对应的二进制文件。数据组合的第一步分析页结构就需要使用这些文件。至此，芯片数据读取阶段完成。
三、数据组合。
这个阶段的工作是整个FLASH数据恢复中最难的一步，其目的是分析芯片数据在FLASH中的存储结构，涉及多种算法的组合，比如页交换，块交换，通道交换等等。这些单一的算法本身是非常简单，但是经过组合，可能性就非常多了。FLASH数据恢复的任务就是从各种可能性的组合中找出正确的组合。这项任务是非常艰巨的，对于初学者而言是非常困难的。用户只有不断去尝试，组合，积累经验才能在FLASH数据恢复中游刃有余。鉴于各种组合算法的复杂性，本文并不涉及如何尝试各种算法，只将最终结果列示在这里。然而，本文会尝试教会用户如何分析页结构（管理字位置，长度，单元长度等）。---这一部分内容，请参见附录。
读取完芯片数据以后，程序会弹出另一个界面“数据组合”，包含六个部分：基本关系，单元结构，管理区结构，混合（数据组合算法），6个功能按钮以及收集结果。
1、
基本关系。
这一部分由程序自动分析芯片的顺序，点击“分析”以后，程序会显示分析后的芯片顺序（“NA”表示没有），数据是否加密等。注意此处，一般情况下需要勾选掉“字节混合”选项，否组数据会混乱。
2、
单元结构。在FLASH芯片中，数据是以“页”为单位存储的，单元结构也就是在一个页里数据的存储结构，包括页字节数，每块页数，数据块个数，管理区个数，管理区分布等等。
3、
管理区结构。管理区结构描述的是数据ID在页中的分布，标记（Mark）的结构，ID的结构等。
4、
混合。混合指的是数据的组合关系，包含块运算关系，通道运算关系等等。数据组合关系是FLASH数据恢复的精华所在，也是最难以掌握的。
5、
功能按钮区。程序提供了6个功能按钮，可以查看芯片源数据，保存算法，装入算法，收集数据，提取数据和镜像。
A、
查看数据。点击该按钮会弹出一个窗口，显示十六进制数据，以供用户研究分析。这个窗口主要是供用户验证ID结构。有四个小窗口，其中左边两个窗口只显示管理区数据，右边两个窗口显示源数据。上下两个窗口显示的是不同页中的数据，用户可以在左上角的编辑框编辑需要显示哪一个页的数据。
下图显示的是正确的ID数据，数据是很有规律的，比较不同位置的ID信息，不难知道ID是高字节在前（变换慢），低字节在后的结构（变化块），即“高前低后”。
如果ID位置分析错误，其显示的数据是杂乱无章，毫无规律的，入下图。
B、
收集。当设置好了数据的组合关系以后，需要点击该“收集”按钮，按照分析的算法重新组合数据。程序会根据算法，显示收集的结果。
C、
保存算法和装入算法。当用户成功使用一种算法恢复数据以后，可以点击“保存算法”，程序会将所有设置保存在项目文件里。这样，当用户再次遇到同样的主控和芯片时，就可以尝试“装入算法”，采用同样的设置尝试恢复数据。
D、
镜像。用户可以将组合的数据镜像成文件，然后使用R-Studio, Winhex等软件扫描文件。
E、
提取数据。当用户确信数据组合结构以后，单击该按钮，程序会弹出文件恢复的界面。这个界面和Data Compass上层界面完全一样，在此不再赘述，只将文件恢复结构列示。（图片已做处理）。
附录------使用Winhex分析ID结构。
本附录将介绍如何使用Winhex寻找ID。这里的技巧是要搜索目录标记“2E20202020202020202020”，因为一般U盘都是FAT结构。具体操作方法如下：
第一步，用Winhex打开FLASH芯片数据文件（本例中为“FLASHCHIP0_0.bin”和“FLASHCHIP0_1.bin”）
首先，我们计算该目录前是不是整数个页。将089A1B00转换成十进制，并除以页大小2112，结果为68332。说明这个2E标记前有68332个页，从2E开始，是一个整页。
然后，从偏移089A1B00处往后跳2112个字节，到这个页的页尾。我们观察页尾的数据，似乎这个是ID信息。
为了验证，我们可以再从偏移089A1B00处跳512个扇区，观察数据内容。我们发现红线框处就是ID信息，页结构就是（512+16）×4，即ID是均匀分布在页中。