数据恢复----重组raid5解析
重组Raid5
第一步:判断RAID5条带大小
- 利用winhex同时打开6个物理镜像每块成员盘中的$MFT文件记录(16进制搜索“46494c45”),并且保证找到的文件记录在每块物理盘的同一扇区(在各个镜像中个搜索一遍,发现搜索的第一遍的文件记录所在的扇区数不一致,而为了在同一扇区找出文件记录号,就要寻找在搜索的第一遍的文件记录所在的最大的扇区数(4112),然后让其他5个镜像都跳至4122扇区,找到的文件记录);
- 这6块成员盘在4112号扇区的文件记录号分别为256、0,64、192、128、256,文件记录号之间的差值为64,说明该RAID5条带大小是64个文件记录的大小,每个文件记录为2个扇区所以条带大小为128扇区。
- 第一步中分析出条带大小为128扇区,在4112扇区基础上,往后跳转128扇区,记录下镜像1-6的文件记录号,再往后跳转128扇区,记录下镜像1-6的文件记录号,总共记录4-5次,记录完成后按大小顺序排列调整后
第二步:判断成员盘的初步盘序和校验方向
|
扇区数\镜像序/ 记录号 |
2 |
3 |
5 |
4 |
1 |
6 |
|
4112 |
0 |
64 |
128 |
192 |
256 |
256 P |
|
4240 |
384 |
448 |
512 |
576 |
320 P |
320 |
|
4368 |
768 |
832 |
896 |
896 P |
640 |
704 |
|
4496 |
1152 |
1216 |
960 P |
960 |
1024 |
1088 |
|
4624 |
1536 |
1536 P |
1280 |
1344 |
1408 |
1472 |
|
4752 |
1600 P |
1600 |
1664 |
1728 |
1792 |
1856 |
2. 文件记录号是从校验块紧随的块从小到大排列的,就是说每个条带组内的第一个数据块首先写入校验块所在的成员盘的下一成员盘中,其余数据块依次写入,所以可以判断此RAID5为左同步结构。
第三步:判断开始扇区和成员盘的最终盘序
- 在每块成员盘中搜索MBR即16进制搜索“55AA”结果在4号盘的3616扇区发现了MBR,跳转到其他扇区的3616扇区,在1号盘为DBR,2号盘,3号盘,6号盘均为0,5号盘类似MBR。得出
RAID-5的起始位置(开始扇区)在3616号扇区
- 即成员盘的最终盘序为4号à1号à6号à2号à3号à5号
第四步:重组RAID
根据之前判断的RAID的结构参数, 起始位置为3616号扇区, 条带大小为128扇区,左同步结构。利用Specialist-ReconstructRAIDSystem功能,设置对应的参数,如下图
第五步:恢复目标文件计算MD5值
RAID重组完成,可以看到一个1.5G大小的分区,双击分区打开,找到RAID-3-1/1.txt文件,拷贝至指定目录,打开恢复的1.txt文件
至指定目录,打开恢复的1.txt文件
