|
|
四块盘的RAID0+1或1+0分析
下图是四块盘的MFT都在相同的扇区内,
上图从左上开始是2盘和3盘,下面是4盘和1盘。首先要做的是先定位MFT,那么如何定位MFT呢?
1、 要找到硬盘上的DBR,DBR内的首特征码是EB52904E。
2、 找到DBR后在偏移地址007E30后的8个字节(0到7),选中查看数据解释器。案例中的数是6291456。
3、 查看每簇占的扇区数,这是每簇占1个扇区。
知道上面的三条后就可以准确的定位MFT了,公式(6291456*1/2)+63,大家要问为什么会除以2,因为这四块盘组的是RAID10两块盘用来存数据,两块盘用来镜像,所以要除以2.得到运算结果3145791后,跳转到该扇区,发现该扇区确实为MFT.
把剩下的三块盘都跳转3145791,选同步窗口,同步比较,发现了四块盘的MFT两两相同(2盘和3盘相同,4盘和1盘相同),确定是两块盘存数据,两块盘镜像。这样就知道硬盘的顺序了,2盘和4盘一组,3盘和1盘一组。
硬盘的顺序出来后,就要分析块的大小,既然2盘和4盘,3盘和1盘都是相同的数据,我们分析出来两块盘就可以了,来看2盘和4盘的MFT,找到偏移007E20C处的后四个字节,选中查看数据解释器,2盘为0,4盘为256.代入公式256*2.这样就知道块的大小是512了。
最后重组RAID数据。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
-
| 本帖评分记录 | 金子 |
收起
理由
|
 八喜
| + 20 |
赞一个! |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
东芝硬盘数据恢复之透明盘片看世界
希捷专修软件STR-4.0.1(DEMO)
我设计的ST简易COM线。
希捷硬盘7200.12 5400.6 前面扇区正常,后
sediv安装说明
螺丝刀改造,可以拧断螺丝的螺丝刀。。。
文件删除数据恢复软件免费的有吗?大厂免费
二款硬盘扫描工具免费下载
STC 原注册版本现免费 终结版 原200人民币
老大们帮看看什么问题