温故知新——继6块SCSI硬盘做RAID5阵列数据恢复分析

xueyingkj · 发表于 2011-10-16 18:23:58

几个月前，做了一次６块SCSI硬盘做RADI5阵列在两块硬盘离线后的数据恢复。今天又用winhex16.2软件对6块SCSI硬盘重新分析，做了一次数据恢复测试。不同的是，这次完全依靠Winhex16.2软件对磁盘结构分析，重组RAID5阵列对数据进行恢复。

以下是操作过程：

在操作之前有5个问题需要搞清楚：1、启始扇区；2、条带块大小；3、盘序；4、校验方式；5、数据结构。

用Winhex16.2打开磁盘镜像文件disk1、disk2、disk3、disk4、dis5、disk6文件，并解释为磁盘搜索55AA标志，发现在DISK1磁盘的0扇区有MBR，其它磁盘为空。通过MBR查看63扇区处的DBR，发现在DISK1的63号扇区有个DBR。分析DBR属性，确认这是个正确的DBR。分析30~37处的$MFT簇位置是在786432处，簇大小是8个扇区，计算$MFT的开始位置：786432*8/5=1258291（取整）。分别跳转到disk1、disk2、disk3、disk4、dis5、disk6镜像文件的1258291扇区处，未发现$MFT，向下搜索46494c45发现在disk3的1258303扇区处有$MFT，分别跳转到其它镜像文件的1258303扇区处。没错，这是个正确的文件记录号。通过$MFT判断条带的大小，打开NTFS FILE Record查看文件记录号属性，通过文件的10属性分析磁盘的新鲜度，通过文件的30属性分析那个条带是校验块，通过文件的80属性判断数据块的循环方向。如下图：

经过分析，条带块的大小是64k，也就是128扇区。通过文件文件记录号分析出最终的RAID5结构为：启始扇区是0扇区；条带块大小是64k,也就是128扇区；盘序是isk1->disk2->disk3->disk6->disk5->disk4；检验结构是非常规左循环；数据方向是异步。如下图：

通过文件记录的10属性分析出disk5镜像磁盘是最先离线，数据不是最新的，不用参于RAID5运算。用Winhex16.2重组RAID5阵列，结果如下图：

RAID5阵列组建完成，三个分区都显示出来，恢复部分文件测试，可以正常打开，数据恢复完成。从开始分析到raid5阵列组建完成用时近两个小时，第一次用时6天时间，算起来节约了太多时间，哈哈……数据恢复要的就是时效。在没有掌声的舞台独舞，同样也要舞出最精彩的一面。