HP不规则双循环RAID5经典恢复(龙媒数据案例)
客户:山东威海开发区医院时间:2012 .11. 17
设备:惠普磁盘柜
RAID阵列:HP双循环
盘数量:12块(4块2T、4块1T、4块300G)
之前在网上发求助贴,无人回应。后求助杜老师,决定远程让杜老师看看磁盘。虽然最终没能跟杜老师合作成功,但在此也感谢杜老师的帮助和思路上的引导。有今天在数据恢复行业里的初入门道,离不开杜老师公开视频的学习是思路拓展,所以没事多来论坛逛逛,看看杜老师的视频还是很有用的!我也真是把坛子当家了,每天上班不管多忙都不忘上来签到一次,直到写这篇帖子时,还在忙着公司一个6块1T硬盘,RAID5高难度的数据恢复(当时杜老师看完盘都说没戏了),随后等恢复完数据后会把案例发上来。 哈哈,再次感谢杜老师!
废话说完了,先介绍一下客户盘的情况。客户一共12块硬盘的惠普磁盘柜做的RAID5阵列,而且是分三组做的,也就是说每四块盘一个RAID5阵列。先把盘号做好标记,来一张全家福照片。然后开始3台机器分别接上3组盘做数据分析,在4块300G的硬盘组里0扇区为MBR,初步确定其起始扇区为0扇区。开始先分析的4块1T和4块2T的盘,分别搜索46494c45,找到$MFT文件,根据文件号初步确认块大小为64KB,盘序略。查看30属性,发现其中一块盘30属性的大小以及属性值为非法值,(如:本案例5号盘30属性:10647,正常值应为0或1)可确定其为校验盘。同步硬盘,向下跳128个扇区分别记录下文件号,再向下跳128扇区...依次记录文件号以及校验扇区。根据初步分析的块大小和校验方向,用WINhex,选择惠普双循环,延时16,分区显示也不正常一打开就显示读取进度条0%然后卡住不动了。感觉WINHEX对大容量阵列的支持效果不太好,只支持左异步的惠普双循环。 后又进一步分析,发现其阵列并不是标准RAID5惠普双循环结构,而是左同步惠普双循环。通过手动编写XML结构文件,将其加载到R-S当中。两组都顺利读出数据。后又用同样的方法对单盘300G的硬盘进行恢复时,却怎么也出不来数据。实在没办法,分析出结构后在WINHEX重组RAID5阵列,确定无误后硬盘对硬盘刻到一块2T的新硬盘里用超级硬盘扫出数据。(杜老师说这样是不对的,如果阵列组对了,直接就出来数据了。后来请杜老师帮忙给做一下,可惜后来联系客户,客户说这个阵列有一部分备份的,而且数据也不太重要就没在继续做下去。)
顺便把其中一组的RAID5阵列的4块盘中部分镜像文件贴出来供大家练习。足够分析使用了。
学习一下看看 我分析了一下 太尼玛乱了(1: 这四个镜像里,怎么没有发现校验块呢?
求教! 太乱了。。。。。。。。。。。。 太乱了。。。。。。。。。。。。 学习一下
eniacmrh 发表于 2012-12-13 14:36 static/image/common/back.gif
这四个镜像里,怎么没有发现校验块呢?
求教!
HP双循环,有校验块的。仔细分析30属性。不是标准的惠普双循环 胜惟一 发表于 2012-12-13 14:50 static/image/common/back.gif
太乱了。。。。。。。。。。。。
是太乱了。难度较大,给客户报价也报低了 ygtaifeng 发表于 2012-12-13 13:26 static/image/common/back.gif
我分析了一下 太尼玛乱了
能分析出阵列结构吗
页:
[1]
2