不少人認爲數據恢復是一項很高深的技術,尤爲raid磁盤陣列數據恢復更爲複雜。其實否則,只要咱們了raid磁盤陣列的工做原理,那麼咱們就能夠輕鬆的分析出損壞的陣列信息,從而恢復磁盤陣列的數據。今天爲你們介紹的就是raid5磁盤陣列故障後的數據恢復方法。ide
Raid5數據恢復的所有祕密
在介紹數據恢復方法以前先介紹一下raid5陣列的校驗方式,也就是咱們所說的「奇偶校驗」或者「異或校驗」。
咱們舉例說明一下:0101 xor 0010根據上述運算規則來計算的話兩者第一位都是 0 ,二者相同,結果爲 0 ;第2、3、四位的數值不一樣則結果均爲1,因此最終結果爲 0111,用公式表示爲:0101 xor 0010 = 0111,因此在 a xor b=c 中若是缺乏其中之一,咱們能夠經過其餘數據進行推算,這就是raid5數據恢復的所有祕密。
spa
Raid5數據恢復實例教學
咱們採用北亞電子取證能力訓練系統中的一個實例來說解raid5數據恢復的具體方法,視頻課程請點此處查看。
考題內容爲:
已知5個500M的磁盤鏡像,這5個鏡像本來是一個raid5卷,因爲硬盤相繼掉線致使raid5陣列不可用。原raid5的起始位置、盤序、塊大小、校驗方式等均爲未知條件。如今要求咱們從這5個鏡像文件中分析raid陣列信息,從而重組raid陣列,恢復題目中指定的那個文件並計算HASH值。
數據恢復過程:
視頻
- 用winhex打開這5個鏡像文件,並把每個磁盤文件轉換爲磁盤格式,以便分析raid信息。
- 依次在打開的文件中查找raid陣列的起始位置,咱們的經常使用方法是在文件中查詢「55AA」標誌,若是內容較多的話咱們能夠直接查詢「0055AA」。查詢到這個起始位置後記錄相應的扇區位置。在本案例中這個扇區位置爲「3944 4-3 mbr」
- 分析塊大小,咱們隨便在某一塊硬盤中查詢一下file,根據奇數盤的規律,咱們一直向下查找,直到出現file斷開的地方,那麼這一段的數據就是本次raid的條帶間隔。那麼在本次案例中咱們經過查詢得出raid的塊大小爲256k。
- 分析到塊大小後,咱們將全部的磁盤所有跳轉到第一個記錄塊的位置,記錄塊的分佈規則並調整順序。本例中獲得的位置信息爲3—2—1—5—4:
- 按照咱們分析出來的這個盤序信息使用winhex重組raid陣列,重組時硬盤順序爲3—2—1—5—4;起始位置都是3944,條帶大小爲512扇區。
- 重組raid後解釋NTFS文件系統,咱們能夠看到陣列中的數據。咱們對文件進行驗證便可。若是驗證失敗,須要將raid陣列中的硬盤依次進行缺盤處理,直道驗證經過。通過驗證,缺失第3塊硬盤是正確的重組方式。提取題目要求的文件便可。