数据恢复公开课:Raid5阵列重组及恢复数据方法
最新动态来源:点击数:2688更新时间:2020/5/12
很多人认为数据恢复是一项很高深的技术,尤其raid磁盘阵列数据恢复更为复杂。其实不然,只要我们了raid磁盘阵列的工作原理,那么我们就可以轻松的分析出损坏的阵列信息,从而恢复磁盘阵列的数据。今天为大家介绍的就是raid5磁盘阵列故障后的数据恢复方法。
Raid5数据恢复的全部秘密
在介绍数据恢复方法之前先介绍一下raid5阵列的校验方式,也就是我们所说的“奇偶校验”或者“异或校验”。
我们举例说明一下:0101 xor 0010根据上述运算规则来计算的话二者第一位都是 0 ,两者相同,结果为 0 ;第二、三、四位的数值不同则结果均为1,所以最终结果为 0111,用公式表示为:0101 xor 0010 = 0111,所以在 a xor b=c 中如果缺少其中之一,我们可以通过其他数据进行推算,这就是raid5数据恢复的全部秘密。
Raid5数据恢复实例教学
我们采用北亚电子取证能力训练系统中的一个实例来讲解raid5数据恢复的具体方法。
考题内容为:
已知5个500M的磁盘镜像,这5个镜像原本是一个raid5卷,由于硬盘相继掉线导致raid5阵列不可用。原raid5的起始位置、盘序、块大小、校验方式等均为未知条件。现在要求我们从这5个镜像文件中分析raid阵列信息,从而重组raid阵列,恢复题目中指定的那个文件并计算HASH值。
数据恢复过程:
1. 用winhex打开这5个镜像文件,并把每一个磁盘文件转换为磁盘格式,以便分析raid信息。
2. 依次在打开的文件中查找raid阵列的起始位置,我们的常用方法是在文件中查询“55AA”标志,如果内容较多的话我们可以直接查询“0055AA”。查询到这个起始位置后记录相应的扇区位置。在本案例中这个扇区位置为“3944 4-3 mbr”
3. 分析块大小,我们随便在某一块硬盘中查询一下file,根据奇数盘的规律,我们一直向下查找,直到出现file断开的地方,那么这一段的数据就是本次raid的条带间隔。那么在本次案例中我们通过查询得出raid的块大小为256k。
4. 分析到块大小后,我们将所有的磁盘全部跳转到第一个记录块的位置,记录块的分布规则并调整顺序。本例中得到的位置信息为3—2—1—5—4:
5. 按照我们分析出来的这个盘序信息使用winhex重组raid阵列,重组时硬盘顺序为3—2—1—5—4;起始位置都是3944,条带大小为512扇区。
6. 重组raid后解释NTFS文件系统,我们可以看到阵列中的数据。我们对文件进行验证即可。如果验证失败,需要将raid阵列中的硬盘依次进行缺盘处理,直道验证通过。经过验证,缺失第3块硬盘是正确的重组方式。提取题目要求的文件即可。
北京北亚数据恢复中心:4006505646