很多人認爲數據恢復是一項很高深的技術,尤其raid磁盤陣列數據恢復更爲複雜。其實不然,只要我們了raid磁盤陣列的工作原理,那麼我們就可以輕鬆的分析出損壞的陣列信息,從而恢復磁盤陣列的數據。今天爲大家介紹的就是raid5磁盤陣列故障後的數據恢復方法。
Raid5數據恢復的全部祕密
在介紹數據恢復方法之前先介紹一下raid5陣列的校驗方式,也就是我們所說的“奇偶校驗”或者“異或校驗”。
我們舉例說明一下:0101 xor 0010根據上述運算規則來計算的話二者第一位都是 0 ,兩者相同,結果爲 0 ;第二、三、四位的數值不同則結果均爲1,所以最終結果爲 0111,用公式表示爲:0101 xor 0010 = 0111,所以在 a xor b=c 中如果缺少其中之一,我們可以通過其他數據進行推算,這就是raid5數據恢復的全部祕密。
Raid5數據恢復實例教學
我們採用北亞電子取證能力訓練系統中的一個實例來講解raid5數據恢復的具體方法,視頻課程請點此處查看。
考題內容爲:
已知5個500M的磁盤鏡像,這5個鏡像原本是一個raid5卷,由於硬盤相繼掉線導致raid5陣列不可用。原raid5的起始位置、盤序、塊大小、校驗方式等均爲未知條件。現在要求我們從這5個鏡像文件中分析raid陣列信息,從而重組raid陣列,恢復題目中指定的那個文件並計算HASH值。
數據恢復過程:
- 用winhex打開這5個鏡像文件,並把每一個磁盤文件轉換爲磁盤格式,以便分析raid信息。
- 依次在打開的文件中查找raid陣列的起始位置,我們的常用方法是在文件中查詢“55AA”標誌,如果內容較多的話我們可以直接查詢“0055AA”。查詢到這個起始位置後記錄相應的扇區位置。在本案例中這個扇區位置爲“3944 4-3 mbr”
- 分析塊大小,我們隨便在某一塊硬盤中查詢一下file,根據奇數盤的規律,我們一直向下查找,直到出現file斷開的地方,那麼這一段的數據就是本次raid的條帶間隔。那麼在本次案例中我們通過查詢得出raid的塊大小爲256k。
- 分析到塊大小後,我們將所有的磁盤全部跳轉到第一個記錄塊的位置,記錄塊的分佈規則並調整順序。本例中得到的位置信息爲3—2—1—5—4:
- 按照我們分析出來的這個盤序信息使用winhex重組raid陣列,重組時硬盤順序爲3—2—1—5—4;起始位置都是3944,條帶大小爲512扇區。
- 重組raid後解釋NTFS文件系統,我們可以看到陣列中的數據。我們對文件進行驗證即可。如果驗證失敗,需要將raid陣列中的硬盤依次進行缺盤處理,直道驗證通過。經過驗證,缺失第3塊硬盤是正確的重組方式。提取題目要求的文件即可。