QQ登录

只需一步,快速开始

新浪微博登陆

只需一步, 快速开始

扫一扫,访问微社区

登录 | 加入雨荷 | 找回密码

数据恢复,winhex视频,数据恢复培训,硬盘数据恢复,raid0,raid1,raid5数据恢复,雨荷数据

 找回密码
 加入雨荷

QQ登录

只需一步,快速开始

新浪微博登陆

只需一步, 快速开始

扫一扫,访问微社区

总共6030条微博

动态微博

查看: 7988|回复: 33

案例-206 温故知新——继6块SCSI硬盘做RAID5阵列数据恢复分析

  [复制链接]
  • TA的每日心情
    开心
    2014-7-28 09:10
  • 签到天数: 33 天

    [LV.5]站长亲戚

    新浪微博达人勋

    发表于 2011-10-17 07:58:36 | 显示全部楼层 |阅读模式
    本帖最后由 rainhe 于 2011-10-26 10:01 编辑

    几个月前,做了一次6块SCSI硬盘做RADI5阵列在两块硬盘离线后的数据恢复。今天又用Winhex16.2软件对6块SCSI硬盘重新分析,做了一次数据恢复测试。不同的是,这次完全依靠Winhex16.2软件对磁盘结构分析,重组RAID5阵列对数据进行恢复。
    以下是操作过程:
    在操作之前有5个问题需要搞清楚:1、启始扇区;2、条带块大小;3、盘序;4、校验方式;5、数据结构。
    用Winhex16.2打开磁盘镜像文件disk1、disk2、disk3、disk4、dis5、disk6文件,并解释为磁盘搜索55AA标志,发现在DISK1磁盘的0扇区有MBR,其它磁盘为空。通过MBR查看63扇区处的DBR,发现在DISK1的63号扇区有个DBR。分析DBR属性,确认这是个正确的DBR。分析30~37处的$MFT簇位置是在786432处,簇大小是8个扇区,计算$MFT的开始位置:786432*8/5=1258291(取整)。分别跳转到disk1、disk2、disk3、disk4、dis5、disk6镜像文件的1258291扇区处,未发现$MFT,向下搜索46494c45发现在disk3的1258303扇区处有$MFT,分别跳转到其它镜像文件的1258303扇区处。没错,这是个正确的文件记录号。通过$MFT判断条带的大小,打开NTFS FILE Record查看文件记录号属性,通过文件的10属性分析磁盘的新鲜度,通过文件的30属性分析那个条带是校验块,通过文件的80属性判断数据块的循环方向。如下图:
    disk6.JPG disk5.JPG disk4.JPG disk3.JPG disk2.JPG disk1.JPG
    经过分析,条带块的大小是64k,也就是128扇区。通过文件文件记录号分析出最终的RAID5结构为:启始扇区是0扇区;条带块大小是64k,也就是128扇区;盘序是isk1->disk2->disk3->disk6->disk5->disk4;检验结构是非常规左循环;数据方向是异步。如下图:
    6块scsi硬盘结构.jpg
    通过文件记录的10属性分析出disk5镜像磁盘是最先离线,数据不是最新的,不用参于RAID5运算。用Winhex16.2重组RAID5阵列,结果如下图: raid5.JPG
    RAID5阵列组建完成,三个分区都显示出来,恢复部分文件测试,可以正常打开,数据恢复完成。从开始分析到raid5阵列组建完成用时近两个小时,第一次用时6天时间,算起来节约了太多时间,哈哈……数据恢复要的就是时效。
    6块scsi硬盘结构.jpg
  • TA的每日心情
    开心
    2012-2-17 09:15
  • 签到天数: 10 天

    [LV.3]偶尔蹭饭

    新浪微博达人勋

    发表于 2011-10-17 09:29:47 | 显示全部楼层
  • TA的每日心情

    2015-2-5 23:01
  • 签到天数: 18 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2011-10-17 11:03:20 | 显示全部楼层
    学习一下。。。。。。。。。
  • TA的每日心情
    开心
    2014-7-28 09:10
  • 签到天数: 33 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2011-10-17 13:30:00 | 显示全部楼层
    谢谢大家支持!我会慢慢将Linux,Uninx的阵列数据恢复分析好,之后和大家分享

    该用户从未签到

    新浪微博达人勋

    发表于 2011-11-17 11:22:06 | 显示全部楼层
    分析的不错,学习一下
  • TA的每日心情
    无聊
    2014-4-1 15:26
  • 签到天数: 6 天

    [LV.2]偶尔串门

    新浪微博达人勋

    发表于 2011-12-24 11:09:24 | 显示全部楼层
    raid5的尚未做过,学习中
  • TA的每日心情
    奋斗
    2012-10-19 16:24
  • 签到天数: 3 天

    [LV.2]偶尔串门

    新浪微博达人勋

    发表于 2011-12-27 09:52:56 | 显示全部楼层
    分析的不错,学习一下
  • TA的每日心情
    开心
    2016-3-3 17:04
  • 签到天数: 189 天

    [LV.7]伴坛终老

    新浪微博达人勋

    发表于 2012-2-14 13:45:52 | 显示全部楼层
    起始扇区是怎么判断的 ?是MBR开始算起?还是DBR起,不明白
  • TA的每日心情
    开心
    2014-7-28 09:10
  • 签到天数: 33 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2012-2-14 23:12:20 | 显示全部楼层
    youqingtian 发表于 2012-2-14 13:45
    起始扇区是怎么判断的 ?是MBR开始算起?还是DBR起,不明白

    是从磁盘的MBR开始,有的时候起始扇区是0,起始扇区不是固定的。
  • TA的每日心情
    奋斗
    2015-7-8 10:53
  • 签到天数: 245 天

    [LV.8]

    新浪微博达人勋

    发表于 2012-2-15 22:28:16 | 显示全部楼层
  • TA的每日心情
    开心
    2016-3-3 17:04
  • 签到天数: 189 天

    [LV.7]伴坛终老

    新浪微博达人勋

    发表于 2012-3-9 16:43:36 | 显示全部楼层
    通过文件记录的10属性分析出disk5镜像磁盘是最先离线,数据不是最新的


    请教下  。这种判断  ,一般从什么地方选择比较好?就是  离线的那个点  ,是怎么在众多的文件记录中筛选出来的 ,
  • TA的每日心情
    开心
    2014-7-28 09:10
  • 签到天数: 33 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2012-3-13 22:42:46 | 显示全部楼层
    youqingtian 发表于 2012-3-9 16:43
    通过文件记录的10属性分析出disk5镜像磁盘是最先离线,数据不是最新的

    我的判断方式是看相同文件记录号的10属性,如果10属性的日期不是最新的,(因为文件在写的时候,数据是连续的,相同记录号的10属性的日期应该是相同的)大至可以判断此块硬盘是最早离线的。

    该用户从未签到

    新浪微博达人勋

    发表于 2012-4-19 21:30:47 | 显示全部楼层
    相同记录号的,是指相就的文件记录号吗,如果文件记录号相同,那不是说明原来有一个硬盘是热备盘,
  • TA的每日心情
    开心
    2015-5-3 12:35
  • 签到天数: 20 天

    [LV.4]匆匆过客

    新浪微博达人勋

    发表于 2012-4-20 14:17:17 | 显示全部楼层
    RAID只要参数弄对了,恢复起来很简单
  • TA的每日心情
    开心
    2014-7-28 09:10
  • 签到天数: 33 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2012-4-22 21:44:32 | 显示全部楼层
    sykevin 发表于 2012-4-19 21:30
    相同记录号的,是指相就的文件记录号吗,如果文件记录号相同,那不是说明原来有一个硬盘是热备盘,

    不是这样的,相同记录号是指块记录号的连续性
    发表回复
    您需要登录后才可以回帖 登录 | 加入雨荷 新浪微博登陆

    本版积分规则

    settings

    距12-12 5折优惠开始还有

    0天 0时 0分 0秒

    {漠岚}

    Copyright © 2001-2015 All Rights Reserved雨荷数据安全技术论坛 陕ICP备17009169号

    QQ|申请友链|小黑屋|手机版|Archiver|雨荷数据安全技术论坛 ( 陕ICP备17009169号

    快速回复 返回顶部 返回列表