|
|
四块盘的RAID0+1或1+0分析
下图是四块盘的MFT都在相同的扇区内,
上图从左上开始是2盘和3盘,下面是4盘和1盘。首先要做的是先定位MFT,那么如何定位MFT呢?
1、 要找到硬盘上的DBR,DBR内的首特征码是EB52904E。
2、 找到DBR后在偏移地址007E30后的8个字节(0到7),选中查看数据解释器。案例中的数是6291456。
3、 查看每簇占的扇区数,这是每簇占1个扇区。
知道上面的三条后就可以准确的定位MFT了,公式(6291456*1/2)+63,大家要问为什么会除以2,因为这四块盘组的是RAID10两块盘用来存数据,两块盘用来镜像,所以要除以2.得到运算结果3145791后,跳转到该扇区,发现该扇区确实为MFT.
把剩下的三块盘都跳转3145791,选同步窗口,同步比较,发现了四块盘的MFT两两相同(2盘和3盘相同,4盘和1盘相同),确定是两块盘存数据,两块盘镜像。这样就知道硬盘的顺序了,2盘和4盘一组,3盘和1盘一组。
硬盘的顺序出来后,就要分析块的大小,既然2盘和4盘,3盘和1盘都是相同的数据,我们分析出来两块盘就可以了,来看2盘和4盘的MFT,找到偏移007E20C处的后四个字节,选中查看数据解释器,2盘为0,4盘为256.代入公式256*2.这样就知道块的大小是512了。
最后重组RAID数据。
|
-
| 本帖评分记录 | 金子 |
收起
理由
|
 八喜
| + 20 |
赞一个! |
|
狗仔卡
提升卡
置顶卡
喧嚣卡
变色卡
显身卡
北京某高级数据恢复系列教程
【新手看老鸟闪】西数模块定义直观图
WD 28(PST)模块简要说明
电子产品结构与导热材料解决方案
硬盘坏道维修色块全去! 希捷F3去色块又一
58GrenadaBP2家族三角板盘1ERxx系列硬砍0头
发个西数固件11g
ST 2T监控硬盘不认别,怎么解决
可怜啊!希捷12代1T酷鱼ST31000524AS固件JC
主板设计中导热界面材料对降低接触热阻的影