希捷（Seagate Technology Cor）成立于1979年，是目前全球最大的硬盤、磁盤和讀寫磁頭制造商，總部位于美國加州司各特谷市。希捷在設計、制造和銷售硬盤領域居全球領先地位，提供用于企業、臺式電腦、移動設備和消費電子的產品。 2016年2月中國的硬盤市場上，希捷以50.12%的市場關注比例領跑品牌榜（圖1），在十大熱門產品中，希捷占有六個位置。

【圖1：希捷硬盤品牌關注度位居第一（圖片來源于網絡）】

       在電子取證過程中，一線取證人員很可能會遇到希捷硬盤無法訪問數據的情況，這一情況往往是因為希捷硬盤譯碼表出現了故障，導致無法訪問希捷硬盤數據區的問題，影響案件的偵破速度。針對這一問題，研究一種專業技術快速有效解決希捷P表缺陷錯誤導致無法訪問數據區的問題，對于電子取證非常重要。

        對于此，數據恢復四川省重點實驗室科研人員深入研究，探索出一種新方法，接下來文章通過基礎概念普及引出這種新方法的使用方法。

       希捷硬盤主要由電路板、盤片、磁頭三部分構成。電路板上的主要引導信息記錄在非失易性存儲上，“非失易性”是指斷電后仍能保存數據，而非失易性存儲其實就是指電路板（PCB，Printed Circuit Board）上8位串行存取的Flash ROM芯片。這些數據非常重要，在希捷硬盤的ROM中存儲了該硬盤的磁頭數量、固件區起始地址、讀寫適配參數、容量適配參數、伺服適配參數等重要信息，它位于硬盤電路板上。 

       希捷硬盤的適配參數重要信息除了存儲在ROM中（見圖2），在磁盤固件區也存放了它的備份。當然，希捷硬盤的固件主要存儲在硬盤盤片上。

【圖2  紅色方框為希捷Barracuda和Desktop HDD的ROM芯片】

       缺陷列表實際上是登記硬盤上存在缺陷的區域位置和大小的一張表。在硬盤管理系統中，它通常是一個文本文件。用戶可以用專業編輯軟件對它進行修改。通過該文件，我們可以了解硬盤上哪些區域存在缺陷，缺陷區域的大小。在硬盤低級格式化過程完成后，硬盤管理系統會根據缺陷列表的內容，自動將存在缺陷的區域作出特殊標記，避免數據讀寫錯誤。

1、Ｐ表

       希捷硬盤的P表，我們也俗稱為原始的主要缺陷表。硬盤在出廠時，就已經將有缺陷的位置記錄在了這個原始的列表里面。下面我們來看一看：

1、P表的結構

       希捷硬盤，每個家族和代數不一樣，它們的P表數據體偏移位置也不一樣。

        主要有11代 、12代和其他特殊代數的硬盤。

        其中以12代為例：數據體偏移位置為0x19400 、0x4C800 、0xCA00 這幾個偏移地址。

【圖6 第二個紅色框為P表條目數】

        圖6中第二個紅色方框，就是P表條目數。條目數的位置一般存在4字節偏移，也有2字節偏移記錄P表缺陷條目數的。

2、數據體中的P表的條目解析

【圖7 藍色選中部分就是P表一個缺陷條目的內容】

      圖7中藍色選中部分就是P表一個缺陷條目的內容：條目的頭部2字節，0x05BB 表示邏輯柱面，條目的最后一個字節是條目的標識符，0x80、0x88表示該條目屬于正常常規缺陷條目記錄。

       在認識了希捷硬盤的結構、缺陷表、P表結構后，就可以開始著手操作本方法，即重塑正確的P表條目，從而重新建立新的譯碼表，具體如下：

【圖8 藍色選中部分是P表的一個缺陷條目】

       圖8中藍色選中部分是P表的一個缺陷條目，這個條目的最后一個字節為0x0C，不屬于正常常規缺陷條目記錄。所以，我們嘗試將該缺陷條目從此P表文件記錄中刪去，然后重新對P表進行校驗，再寫入硬盤，并以修改后的P表進行硬盤的譯碼表重建。

       希捷硬盤不能訪問的主要有2點因素：第一，P表的缺陷條目被修改過，也就是說不是原始的主要缺陷表；第二，SMART表、G表也出現損壞，導致編譯器離線，譯碼表不正確。總之，最終造成硬盤不能訪問正確的數據區數據，或者造成前好后壞的故障。此時，就可通過本文介紹的方法進行嘗試。