这个阵列五毒俱全 4096B 16块1T硬盘 2个盘出错 HP双循环 RAID6终于让我搞定了

330wang

做个广告：培训阵列恢复，学完后达到自己能独立分析阵列的能力，包括raid0，raid1E，raid5，raid5EE，HP双循环
  
最近刚做的一个案例：

一个ADS的服务器，接了16块盘，每块盘大小为1TB，这个阵列报2号盘和5号盘SMART出错。
    厂家说是RAID5。当时感觉就不太妙，大家都知道RAID5只能一块盘损坏，要是损坏两块盘的话，提取数据会有问题。
    接到这个阵列后，经检测2号盘磁头损坏，已经无法修复了。而5号盘经检测没有发现问题，先不管这么多了，先把5号盘进行全盘镜像，防止进一步损坏。
    做完镜像后，用winhex打开每个磁盘，分别查看每个磁盘的0扇区，看看有没有MBR标志。幸运的只是在7号盘中发现了一个MBR。

        通过查看模板得知阵列中第一个分区开始于63扇区。我们现在转到63扇区看一下，发现不是DBR扇区。
        于是我们在这15个磁盘中查找DBR扇区。
        发现5号盘和15号盘的120扇区都是DBR，但是它们所描述的分区大小是不一样的。
        通过和7号盘的0扇区的分区大小比较得知15号盘的DBR是正确的。比7号盘0扇区的分区数少1。
        但是为为什么会在120扇区呢？通过查看DBR参数，我们得知这是一个4096字节的扇区，而不是我们常用的512字节的扇区。

        这样的话，120也就不难理解了。
        同时我们也知道整个阵列的大小为3173576427个扇区，也就是3173576427*4096＝12998969044992B≈13TB（按1kb＝1000b）。16块盘13TB？？这是个什么阵列呀？？
        现在我们从$MFT入手进行下一步的分析。
        由于15号盘中DBR所描述的$MFT位置也不太远，就从当前位置开始查找$MFT文件。

        在15号盘的473906扇区找到一个$MFT记录，但是这不是真正的$MFT记录。再往下查找。
        在15号盘的483968扇区找到真正的$MFT文件。

        现在所有的盘都定位到483968这个扇区。发现大多数盘都不是MFT记录。现在要找一个扇区，这个位置都应该是MFT记录。
        这个新位置就是487424。
        通过查看MFT记录编号，我们发现1号盘和3号盘的MFT编号一样。4号盘是乱码。
        然后进一步分析得知，我们还是比较幸运的，坏掉的2号盘是个热备盘。
        同时这是一个15块盘组成的RAID6。
        正好是13T的容量。
        下面通过进一步分析，得知这个RAID6是一个HP双循环的结构。
        内环是64KB，外环是32。
        盘序是：4 2 7 8 5 15 13 14 12 6 11 10 9 1 3
        且是一个右循环的阵列。下表是RAID外循环
P        Q        1        2        3        4        5        6        7        8        9        10        11        12        13
26        P        Q        14        15        16        17        18        19        20        21        22        23        24        25
。。。        。。。                                                                                                       
                                                                                                               
        下表是RAID内循环
P        Q        1        2        3        4        5        6        7        8        9        10        11        12        13
P        Q        14        15        16        17        18        19        20        21        22        23        24        25        26
P        Q        27        28        29        30        31        32        33        34        35        36        37        38        39
P        Q        。。。        。。。                                                                                       

        winhex重组后发现这个软件有一点点小问题，不能直接打开磁盘的分区。
        现在验证一下：

        阵列的504扇区，正确，是个DBR。
        再看一下6291960扇区，正确，是$MFT文件。

这样的话RAID6是重组成功了，但是winhex这个软件不给力，再换个。

        双击出现的这个分区：

        剩下的就是提取数据了。


注意：这里用镜像来给大家举例。因此出现不了后面的分区是正常的。

果然是专业人士~~

轩辕无名

分析的很不错，好贴[s:9]

英胜数据恢复

RAID6的HP双循环？？？？
这个不是乱扯吗？？？？

330wang

胜惟一 发表于 2013-7-10 13:50
RAID6的HP双循环？？？？
这个不是乱扯吗？？？？

不多做评论,它可能叫ADG

具体是什么名字我不关心,反正最后分析的是RAID6,但是满足HP双循环的格式.比HP的RAID5只多了一个Q校验.

举个例子吧.如4块盘的这个结构:
P Q 1 2
P Q 3 4
P Q 5 6
P Q 7 8
10  P Q 9
12 P Q 11
14 P Q 13
16 P Q 15
17 18 P Q
19 20 P Q
21 22 P Q
23 24 P Q
Q 25 26 P
Q 27 28 P
Q 29 30 P
Q 31 32 P
不知我说清了吗?

ikkyphoenix

很赞~支持一个！

肖吉

支持一下  。。。

晨天数据恢复

一点也不奇怪 ，RAID6有双循环，还有好几种

528229968

...................

英胜数据恢复

330wang 发表于 2013-7-10 15:42
不多做评论,它可能叫ADG

具体是什么名字我不关心,反正最后分析的是RAID6,但是满足HP双循环的格式.比HP ...

   你直接说HP+RAID6不就好了   没有说又是hP 又是RIAD6的。。。。