希捷硬盘修复P表实现数据恢复的电子取证方法研究

xlysoft

【文章来源：效率源科技（微信号）】微信号：xiaolvyuantec

编者按：本期，数据恢复四川省重点实验室科研人员介绍一种关于希捷硬盘通过修改P表错误缺陷记录实现数据恢复的方法，这种技术虽然增加了对P表的条目编辑修改校验流程，但在数据恢复的整体流程中，减少了恢复时间、增加了成功率，可助力一线取证人员快速调取希捷硬盘的重要线索。

【图1：希捷硬盘品牌关注度位居第一（图片来源于网络）】

       在电子取证过程中，一线取证人员很可能会遇到希捷硬盘无法访问数据的情况，这一情况往往是因为希捷硬盘译码表出现了故障，导致无法访问希捷硬盘数据区的问题，影响案件的侦破速度。针对这一问题，研究一种专业技术快速有效解决希捷P表缺陷错误导致无法访问数据区的问题，对于电子取证非常重要。

        对于此，数据恢复四川省重点实验室科研人员深入研究，探索出一种新方法，接下来文章通过基础概念普及引出这种新方法的使用方法。

一、认识希捷硬盘结构

       希捷硬盘主要由电路板、盘片、磁头三部分构成。电路板上的主要引导信息记录在非失易性存储上，“非失易性”是指断电后仍能保存数据，而非失易性存储其实就是指电路板（PCB，Printed Circuit Board）上8位串行存取的Flash ROM芯片。这些数据非常重要，在希捷硬盘的ROM中存储了该硬盘的磁头数量、固件区起始地址、读写适配参数、容量适配参数、伺服适配参数等重要信息，它位于硬盘电路板上。

【图2  红色方框为希捷Barracuda和Desktop HDD的ROM芯片】

二、认识希捷硬盘的缺陷表

       缺陷列表实际上是登记硬盘上存在缺陷的区域位置和大小的一张表。在硬盘管理系统中，它通常是一个文本文件。用户可以用专业编辑软件对它进行修改。通过该文件，我们可以了解硬盘上哪些区域存在缺陷，缺陷区域的大小。在硬盘低级格式化过程完成后，硬盘管理系统会根据缺陷列表的内容，自动将存在缺陷的区域作出特殊标记，避免数据读写错误。

1、Ｐ表

       P表又称为永久缺陷列表，用于记录硬盘生产过程中产生的缺陷。厂家使用专门的测试设备发现的缺陷是磁介质寿命完成之后产生的永久缺陷，只能使用特别的设备来增加它，一般没有必要去动它。具体介绍可参见《技术实战》栏目“硬盘开盘第3期”的概念介绍。

        加入P表不会影响硬盘的读写性能，这要从硬盘的扇区结构进行分析。因为硬盘的全部扇区可以划分为固件区、工作区和保留扇区，其中固件区和保留扇区普通用户无法直接进行操作。

【图4 缺陷加入P表后的扇区结构】

2、G表

       G表又称为增长缺陷列表，用于记录硬盘使用过程中由于磁介质性能变弱而引起的缺陷。这些缺陷可以在格式化的过程中发现，也可以由固件自动格式过程或者REASSIGN BLOCK命令做重新分配的过程中发现。

【图5 缺陷加入G表后的扇区结构】

       由于保留扇区在硬盘的内道，读写速度慢，同时由于该扇区会导致硬盘的数据存储从物理上来说不连续了，当磁头读取该扇区的数据时需要移动较远的距离，代替坏扇区后，该LBA的读写速度会慢一些，所以我们说缺陷扇区加入G表后会影响硬盘的读写速度。

三、希捷硬盘P表的结构：

       希捷硬盘的P表，我们也俗称为原始的主要缺陷表。硬盘在出厂时，就已经将有缺陷的位置记录在了这个原始的列表里面。下面我们来看一看：

1、P表的结构

        希捷硬盘，每个家族和代数不一样，它们的P表数据体偏移位置也不一样。

        主要有11代 、12代和其他特殊代数的硬盘。

        图6中第二个红色方框，就是P表条目数。条目数的位置一般存在4字节偏移，也有2字节偏移记录P表缺陷条目数的。

      图7中蓝色选中部分就是P表一个缺陷条目的内容：条目的头部2字节，0x05BB 表示逻辑柱面，条目的最后一个字节是条目的标识符，0x80、0x88表示该条目属于正常常规缺陷条目记录。

       图8中蓝色选中部分是P表的一个缺陷条目，这个条目的最后一个字节为0x0C，不属于正常常规缺陷条目记录。所以，我们尝试将该缺陷条目从此P表文件记录中删去，然后重新对P表进行校验，再写入硬盘，并以修改后的P表进行硬盘的译码表重建。

五、影响希捷无法访问数据区数据的几点因素

       希捷硬盘不能访问的主要有2点因素：第一，P表的缺陷条目被修改过，也就是说不是原始的主要缺陷表；第二，SMART表、G表也出现损坏，导致编译器离线，译码表不正确。总之，最终造成硬盘不能访问正确的数据区数据，或者造成前好后坏的故障。此时，就可通过本文介绍的方法进行尝试。

编后语：数据恢复四川省重点实验室科研人员通过利用编辑P表错误缺陷条目，以达到重建正确的译码表目的。这种方法能够有效解决希捷硬盘无法访问数据的问题，在为公检法、科研、企业、个人等客户提供电子取证、司法鉴定、数据恢复等服务中，效率源技术人员已使用该方法进行研判，简单、有效。目前，该方法正在集成到DRS数据恢复系统、HD Doctor硬盘固件专修等电子取证数据恢复设备中，有兴趣的技术人员欢迎一同探讨。