服务器5盘位磁盘阵列raid5虚拟重组数据恢复
服务器5盘位磁盘阵列raid5虚拟重组数据恢复,环境是在2003下自己搭建的,5块5G的硬盘组成的RAID5,把每块硬盘单独做了镜像用来分析,分别是1.img—5.img 。首先用winhex打开5个镜像,分别查看5个镜像的0号扇区,发现都是MBR,经过计算分区大小,全是5G,也就是单个硬盘的大小。所以都不是RAID5逻辑盘的有效MBR。在向下搜索“55AA”,在1.img的63号扇区发现了一个DBR,如图
其他镜像里搜索的扇区数比较大,放弃了。1.img 63号扇区的DBR经计算分区大小正好是20G,和RAID5逻辑盘的大小相符,所以可以认为是RAID5逻辑盘的有效DBR,这样就确定了raid5起始扇区在1.img的63号扇区。下面来计算一下块大小,上图中可以看到,DBR扇区的下一个扇区正好是ntldr的的起始区域,说明这个扇区和DBR扇区是连续的,所以块大小大于或等于128。下面在跳转到1.img的127号扇区看一下,是不是和128号扇区有连续性。
如上图,这个地方看不出来有没有连续性。那么只能找到$MFT的文件记录再来分析了。根据DBR中的描述,$MFT起始于分区的786432号簇,也就是6291456号扇区,这样用6291456/(5-1)+63=1572927就是mft的绝对扇区号,就算有误差也不会很大。下面把所有镜像跳转到1572927扇区,如图
在5.img发现了$MFT的文件记录,1.img,2.img和3.img也都是文件记录。4.img的同一扇区应该是校验。下边对比文件记录号如下:1572927号扇区1.img是C0 00 00 00 1922.img是80 00 00 00 1283.img是40 00 00 00 645.img是00 00 00 00 04.img是校验这样块大小就知道了,64*2=128 下面计算一下盘序和结构,再向下跳转128扇区看一下,1572927+128=1573055 ,经过对比,1.img应该是校验。再向下跳转128扇区,以此类推,校验快的分布就出来了。如图
通过INTOHARD论坛下载的RAID5盘序计算程序很快算出了盘序:1.4.5.3.2 。左结构。下面计算一下是同步还是异步,把上图整理一下,如图
1573183号扇区的4个数字为文件记录号。计算同步还是异步,只需要查找768号文件记录是在1.img的1573311号扇区还是在2.img的1573311号扇区。如果在1.img的1573311号扇区,说明是左异步,如果在2.img的1573311号扇区,说明是左同步。查找后,768号文件文件记录在2.img。如下图
**** Hidden Message ***** (1:(1: 很详细。。。。。。。。。。。。 好高深 学习 不错,学习了 good! 支持。。。。。。。。。。。 学学,看看,瞅瞅 不错,学习了
好高深 学习