HP不规则双循环RAID5经典恢复（龙媒数据案例）

zhangyuxuan0628 · 发表于 2012-12-13 10:03:03

客户：山东威海开发区医院
时间：2012 .11. 17
设备：惠普磁盘柜
RAID阵列：HP双循环
盘数量：12块（4块2T、4块1T、4块300G）
         之前在网上发求助贴，无人回应。后求助杜老师，决定远程让杜老师看看磁盘。虽然最终没能跟杜老师合作成功，但在此也感谢杜老师的帮助和思路上的引导。有今天在数据恢复行业里的初入门道，离不开杜老师公开视频的学习是思路拓展，所以没事多来论坛逛逛，看看杜老师的视频还是很有用的！我也真是把坛子当家了，每天上班不管多忙都不忘上来签到一次，直到写这篇帖子时，还在忙着公司一个6块1T硬盘，RAID5高难度的数据恢复（当时杜老师看完盘都说没戏了），随后等恢复完数据后会把案例发上来。哈哈，再次感谢杜老师！
         废话说完了，先介绍一下客户盘的情况。客户一共12块硬盘的惠普磁盘柜做的RAID5阵列，而且是分三组做的，也就是说每四块盘一个RAID5阵列。先把盘号做好标记，来一张全家福照片。然后开始3台机器分别接上3组盘做数据分析，在4块300G的硬盘组里0扇区为MBR，初步确定其起始扇区为0扇区。开始先分析的4块1T和4块2T的盘，分别搜索46494c45，找到$MFT文件，根据文件号初步确认块大小为64KB，盘序略。查看30属性，发现其中一块盘30属性的大小以及属性值为非法值，（如：本案例5号盘30属性：10647，正常值应为0或1）可确定其为校验盘。同步硬盘，向下跳128个扇区分别记录下文件号，再向下跳128扇区...依次记录文件号以及校验扇区。根据初步分析的块大小和校验方向，用winhex，选择惠普双循环，延时16，分区显示也不正常一打开就显示读取进度条0%然后卡住不动了。感觉WINHEX对大容量阵列的支持效果不太好，只支持左异步的惠普双循环。后又进一步分析，发现其阵列并不是标准RAID5惠普双循环结构，而是左同步惠普双循环。通过手动编写XML结构文件，将其加载到R-S当中。两组都顺利读出数据。后又用同样的方法对单盘300G的硬盘进行恢复时，却怎么也出不来数据。  实在没办法，分析出结构后在WINHEX重组RAID5阵列，确定无误后硬盘对硬盘刻到一块2T的新硬盘里用超级硬盘扫出数据。（杜老师说这样是不对的，如果阵列组对了，直接就出来数据了。后来请杜老师帮忙给做一下，可惜后来联系客户，客户说这个阵列有一部分备份的，而且数据也不太重要就没在继续做下去。）
   顺便把其中一组的RAID5阵列的4块盘中部分镜像文件贴出来供大家练习。  足够分析使用了。