四块盘的RAID0+1或1+0分析
四块盘的RAID0+1或1+0分析下图是四块盘的MFT都在相同的扇区内,
上图从左上开始是2盘和3盘,下面是4盘和1盘。首先要做的是先定位MFT,那么如何定位MFT呢?
1、 要找到硬盘上的DBR,DBR内的首特征码是EB52904E。
2、 找到DBR后在偏移地址007E30后的8个字节(0到7),选中查看数据解释器。案例中的数是6291456。
3、 查看每簇占的扇区数,这是每簇占1个扇区。
知道上面的三条后就可以准确的定位MFT了,公式(6291456*1/2)+63,大家要问为什么会除以2,因为这四块盘组的是RAID10两块盘用来存数据,两块盘用来镜像,所以要除以2.得到运算结果3145791后,跳转到该扇区,发现该扇区确实为MFT.
把剩下的三块盘都跳转3145791,选同步窗口,同步比较,发现了四块盘的MFT两两相同(2盘和3盘相同,4盘和1盘相同),确定是两块盘存数据,两块盘镜像。这样就知道硬盘的顺序了,2盘和4盘一组,3盘和1盘一组。
硬盘的顺序出来后,就要分析块的大小,既然2盘和4盘,3盘和1盘都是相同的数据,我们分析出来两块盘就可以了,来看2盘和4盘的MFT,找到偏移007E20C处的后四个字节,选中查看数据解释器,2盘为0,4盘为256.代入公式256*2.这样就知道块的大小是512了。
最后重组RAID数据。
如果是RAID10,很简单,先几个盘做个比较,就可以排除2个盘,然后两个盘重建RAID0,就很简单了
页:
[1]