5个盘的raid5重组，恢复数据。（自己做的实验）

bsmao

环境是在2003下自己搭建的，5块5G的硬盘组成的RAID5，把每块硬盘单独做了镜像用来分析，分别是1.img—5.img 。首先用winhex打开5个镜像，

分别查看5个镜像的0号扇区，发现都是MBR，经过计算分区大小，全是5G，也就是单个硬盘的大小。所以都不是RAID5逻辑盘的有效MBR。在向下搜索“55AA”，在1.img的63号扇区发现了一个DBR，如图

其他镜像里搜索的扇区数比较大，放弃了。1.img 63号扇区的DBR经计算分区大小正好是20G，和RAID5逻辑盘的大小相符，所以可以认为是RAID5逻辑盘的有效DBR，这样就确定了raid5起始扇区在1.img的63号扇区（这个地方有点疑问，回头请各位老师指导）。下面来计算一下块大小，上图中可以看到，DBR扇区的下一个扇区正好是ntldr的的起始区域，说明这个扇区和DBR扇区是连续的，所以块大小大于或等于128。下面在跳转到1.img的127号扇区看一下，是不是和128号扇区有连续性。

bsmao

如上图，这个地方看不出来有没有连续性。那么只能找到$MFT的文件记录再来分析了。根据DBR中的描述，$MFT起始于分区的786432号簇，也就是6291456号扇区，这样用6291456/（5-1）+63=1572927就是mft的绝对扇区号，就算有误差也不会很大。下面把所有镜像跳转到1572927扇区，如图

1.       img

2.  img

bsmao

3.   img

4.  img

bsmao

5. img

在5.img发现了$MFT的文件记录，1.img，2.img和3.img也都是文件记录。4.img的同一扇区应该是校验。（一个是右边有非法字符，另外也可以通过更新序列号异或计算一下）。下边对比文件记录号如下：1572927号扇区

1.img是C0 00 00 00      192

2.img是80 00 00 00      128

3.img是40 00 00 00       64

5.img是00 00 00 00        0

4.img是校验

这样块大小就知道了，64*2=128 下面计算一下盘序和结构，再向下跳转128扇区看一下，1572927+128=1573055 ，经过对比，1.img应该是校验。再向下跳转128扇区，以此类推，校验快的分布就出来了。如图

通过论坛上下载的RAID5盘序计算程序很快算出了盘序：1.4.5.3.2 （也可以通过MOD计算出盘序)。左结构。下面计算一下是同步还是异步，把上图整理一下，如图

bsmao

继续整理

1573183号扇区的4个数字为文件记录号。计算同步还是异步，只需要查找768号文件记录是在1.img的1573311号扇区还是在2.img的1573311号扇区。如果在1.img的1573311号扇区，说明是左异步，如果在2.img的1573311号扇区，说明是左同步。查找后，768号文件文件记录在2.img。如下图

bsmao

这样，所有参数都计算出来了：

Raid5的起始扇区 63号扇区（这里有点疑问，重组时只能这样才看得到数据）

块大小 128扇区

盘序 1.4.5.3.2

数据结构 左同步

下面重组数据，如图

bsmao

bsmao

R-Studio

恢复成功，数据经验证没有问题。

bsmao

这个实验比较简单，适合我这样的新手。各位老师多给指导指导！虽然重组成功了，但是起始扇区在63号扇区这还有点疑问，为什么不能从0扇区开始计算。看的一些教程里，0扇区应该有个raid5的分区表才对呀？这里全是单个硬盘容量大小的分区表。不明白。呵呵

bsmao

今又天试验了6个盘的raid5重组，和单数盘的的区别在于校验块的判断上复杂了一些，通过对比30属性确定了校验块在哪个盘上，确定了盘序和循环方向，以及同步还是异步，最终重组成功。特此写出来共享一下。呵呵

未来还未来

支持下楼主   正在学习中{:22|}

bsmao

感谢支持！一起学习，一起进步。呵呵

天运

学习了··不过还有点深奥。

rainhe

天运 发表于  18 小时前
学习了··不过还有点深奥。...

慢慢来，冰冻三尺绝非一日之寒。来自: iPhone客户端

雨轩

不错不错，支持一下。做教程辛苦了，支持原创！