温故知新——继6块SCSI硬盘做RAID5阵列数据恢复分析
几个月前,做了一次6块SCSI硬盘做RADI5阵列在两块硬盘离线后的数据恢复。今天又用Winhex16.2软件对6块SCSI硬盘重新分析,做了一次数据恢复测试。不同的是,这次完全依靠Winhex16.2软件对磁盘结构分析,重组RAID5阵列对数据进行恢复。以下是操作过程:
在操作之前有5个问题需要搞清楚:1、启始扇区;2、条带块大小;3、盘序;4、校验方式;5、数据结构。
用Winhex16.2打开磁盘镜像文件disk1、disk2、disk3、disk4、dis5、disk6文件,并解释为磁盘搜索55AA标志,发现在DISK1磁盘的0扇区有MBR,其它磁盘为空。通过MBR查看63扇区处的DBR,发现在DISK1的63号扇区有个DBR。分析DBR属性,确认这是个正确的DBR。分析30~37处的$MFT簇位置是在786432处,簇大小是8个扇区,计算$MFT的开始位置:786432*8/5=1258291(取整)。分别跳转到disk1、disk2、disk3、disk4、dis5、disk6镜像文件的1258291扇区处,未发现$MFT,向下搜索46494c45发现在disk3的1258303扇区处有$MFT,分别跳转到其它镜像文件的1258303扇区处。没错,这是个正确的文件记录号。通过$MFT判断条带的大小,打开NTFS FILE Record查看文件记录号属性,通过文件的10属性分析磁盘的新鲜度,通过文件的30属性分析那个条带是校验块,通过文件的80属性判断数据块的循环方向。如下图:
经过分析,条带块的大小是64k,也就是128扇区。通过文件文件记录号分析出最终的RAID5结构为:启始扇区是0扇区;条带块大小是64k,也就是128扇区;盘序是isk1->disk2->disk3->disk6->disk5->disk4;检验结构是非常规左循环;数据方向是异步。如下图:
通过文件记录的10属性分析出disk5镜像磁盘是最先离线,数据不是最新的,不用参于RAID5运算。用Winhex16.2重组RAID5阵列,结果如下图:
RAID5阵列组建完成,三个分区都显示出来,恢复部分文件测试,可以正常打开,数据恢复完成。从开始分析到raid5阵列组建完成用时近两个小时,第一次用时6天时间,算起来节约了太多时间,哈哈……数据恢复要的就是时效。在没有掌声的舞台独舞,同样也要舞出最精彩的一面。 楼主,真是强大!厉害!! 谢谢楼主分享 谢谢大家支持,我会慢慢将Linux,Unix文件系统的阵列数据恢复分析好,之后和大家一起分享 谢谢楼主分享 能发文件出来让新手,让新手练习下没,由于未自己动过手,想问一下,硬盘5是否加到阵列里重建?(应该不加加入重建阵列队伍吧?求解)
如果可以做视频让大家参考下,谢谢 好经验。把RAID5恢复的标准步骤都展示出来了。 回复 6# ellwin
在重建时不要加入,加入后恢复出的数据是无法正常打开的 嗯,谢谢啊,希望有更多的精彩案例,我们向你学习, 能留下联系方式么,希望可以交流下