330wang 发表于 2013-7-10 12:23:07

这个阵列五毒俱全 4096B 16块1T硬盘 2个盘出错 HP双循环 RAID6终于让我搞定了

本帖最后由 330wang 于 2013-7-10 13:16 编辑

做个广告:培训阵列恢复,学完后达到自己能独立分析阵列的能力,包括raid0,raid1E,raid5,raid5EE,HP双循环

最近刚做的一个案例:

一个ADS的服务器,接了16块盘,每块盘大小为1TB,这个阵列报2号盘和5号盘SMART出错。
    厂家说是RAID5。当时感觉就不太妙,大家都知道RAID5只能一块盘损坏,要是损坏两块盘的话,提取数据会有问题。
    接到这个阵列后,经检测2号盘磁头损坏,已经无法修复了。而5号盘经检测没有发现问题,先不管这么多了,先把5号盘进行全盘镜像,防止进一步损坏。
    做完镜像后,用winhex打开每个磁盘,分别查看每个磁盘的0扇区,看看有没有MBR标志。幸运的只是在7号盘中发现了一个MBR。

        通过查看模板得知阵列中第一个分区开始于63扇区。我们现在转到63扇区看一下,发现不是DBR扇区。
        于是我们在这15个磁盘中查找DBR扇区。
        发现5号盘和15号盘的120扇区都是DBR,但是它们所描述的分区大小是不一样的。
        通过和7号盘的0扇区的分区大小比较得知15号盘的DBR是正确的。比7号盘0扇区的分区数少1。
        但是为为什么会在120扇区呢?通过查看DBR参数,我们得知这是一个4096字节的扇区,而不是我们常用的512字节的扇区。

        这样的话,120也就不难理解了。
        同时我们也知道整个阵列的大小为3173576427个扇区,也就是3173576427*4096=12998969044992B≈13TB(按1kb=1000b)。16块盘13TB??这是个什么阵列呀??
        现在我们从$MFT入手进行下一步的分析。
        由于15号盘中DBR所描述的$MFT位置也不太远,就从当前位置开始查找$MFT文件。

        在15号盘的473906扇区找到一个$MFT记录,但是这不是真正的$MFT记录。再往下查找。
        在15号盘的483968扇区找到真正的$MFT文件。

        现在所有的盘都定位到483968这个扇区。发现大多数盘都不是MFT记录。现在要找一个扇区,这个位置都应该是MFT记录。
        这个新位置就是487424。
        通过查看MFT记录编号,我们发现1号盘和3号盘的MFT编号一样。4号盘是乱码。
        然后进一步分析得知,我们还是比较幸运的,坏掉的2号盘是个热备盘。
        同时这是一个15块盘组成的RAID6。
        正好是13T的容量。
        下面通过进一步分析,得知这个RAID6是一个HP双循环的结构。
        内环是64KB,外环是32。
        盘序是:4 2 7 8 5 15 13 14 12 6 11 10 9 1 3
        且是一个右循环的阵列。下表是RAID外循环
P        Q        1        2        3        4        5        6        7        8        9        10        11        12        13
26        P        Q        14        15        16        17        18        19        20        21        22        23        24        25
。。。        。。。                                                                                                       
                                                                                                               
        下表是RAID内循环
P        Q        1        2        3        4        5        6        7        8        9        10        11        12        13
P        Q        14        15        16        17        18        19        20        21        22        23        24        25        26
P        Q        27        28        29        30        31        32        33        34        35        36        37        38        39
P        Q        。。。        。。。                                                                                       

        winhex重组后发现这个软件有一点点小问题,不能直接打开磁盘的分区。
        现在验证一下:

        阵列的504扇区,正确,是个DBR。
        再看一下6291960扇区,正确,是$MFT文件。

这样的话RAID6是重组成功了,但是winhex这个软件不给力,再换个。

        双击出现的这个分区:

        剩下的就是提取数据了。


注意:这里用镜像来给大家举例。因此出现不了后面的分区是正常的。


发表于 2013-7-10 12:39:00

果然是专业人士~~

轩辕无名 发表于 2013-7-10 12:40:39

分析的很不错,好贴

英胜数据恢复 发表于 2013-7-10 13:50:25

RAID6的HP双循环????
这个不是乱扯吗????

330wang 发表于 2013-7-10 15:42:44

胜惟一 发表于 2013-7-10 13:50 static/image/common/back.gif
RAID6的HP双循环????
这个不是乱扯吗????

不多做评论,它可能叫ADG

具体是什么名字我不关心,反正最后分析的是RAID6,但是满足HP双循环的格式.比HP的RAID5只多了一个Q校验.

举个例子吧.如4块盘的这个结构:
P Q 1 2
P Q 3 4
P Q 5 6
P Q 7 8
10P Q 9
12 P Q 11
14 P Q 13
16 P Q 15
17 18 P Q
19 20 P Q
21 22 P Q
23 24 P Q
Q 25 26 P
Q 27 28 P
Q 29 30 P
Q 31 32 P
不知我说清了吗?


ikkyphoenix 发表于 2013-7-10 16:25:58

很赞~支持一个!

肖吉 发表于 2013-7-10 16:52:59

支持一下。。。

晨天数据恢复 发表于 2013-7-10 17:44:01

一点也不奇怪 ,RAID6有双循环,还有好几种

528229968 发表于 2013-7-10 18:41:34

...................

英胜数据恢复 发表于 2013-7-11 09:42:05

330wang 发表于 2013-7-10 15:42 static/image/common/back.gif
不多做评论,它可能叫ADG

具体是什么名字我不关心,反正最后分析的是RAID6,但是满足HP双循环的格式.比HP ...

   你直接说HP+RAID6不就好了   没有说又是hP 又是RIAD6的。。。。
页: [1] 2 3
查看完整版本: 这个阵列五毒俱全 4096B 16块1T硬盘 2个盘出错 HP双循环 RAID6终于让我搞定了