某医院DFT SCSI 300GB *8 RAID5数据恢复成功

[引言]
    转载请保留原作网站：http://www.sjhf.net   关键字:RAID数据恢复

    某医院存储服务器，存储自2004年至今所有CT等照片备份，8块300GB SCSI硬盘，其中7块做RAID5 另一块做为热备，数据不正常后很多人(机构)都对其有过恢复操作，中间操作不详。

    接手后，简单分析，所有盘均通过异或测试，很快发现7块盘的盘序、块大小、校验方式及热备盘所在，但显而易见的是，7块盘组出的1.8TB的数据里只分了一个区，而且刚刚格式化过。据此初步推断，RAID被人强制上线后格式化，或者RAID无损坏，只是格式化过。

    明显的，系统的NTFS是在WIN2K下格式化出来的，这种情况下，不管原先的NTFS是WIN2K还是XP\WIN2K3下格式化，逻辑卷前几个G的空间内一定存在大量用户FILE RECORD，如果可以找到，应该可以顺此恢复文件。

    尝试的结果是，前面一无所获，照此看，有两种可能，一是被用户重新初始化后格式化;另一种可能是$MFT不在分区前面，或者数据分区位置很靠后。

    试图在其中一块盘中查找所有可知的FILE RECORD，在50%左右的空间区域内发现大量FR，简单分析，发现为WIN2K3格式化后的分区痕迹，仔细分析后惊然发现，原来的盘序、块大小及热备盘均和刚刚分析的结果不相同，盘序更是相差很多。返回每块盘前面物理地址观察，所有盘前2G的数据几乎都为0，据此断定用户操作：RAID异常后，用户可能将部分硬盘拿下，但并未标盘号，重新插回后，做了初始化，但当所有硬盘开始写操作后，发现不对，马上并闭RAID，重启后发现RAID好了。进入系统后，成了空的逻辑卷，于是又对其进行了格式化。

    重新分析RAID信息，因分区太大，无法重组，于是手工修改部分数据，导出，恢复50%左右数据。其余数据因FR丢失无法看到名称与目录，对医院而言，即使恢复文件，没有结构也没有意义，没有更好的恢复结果了。