案例-212 NT系统RAID分析思路

rainhe · 发表于 2012-5-18 10:24:32

本帖最后由 rainhe 于 2012-5-18 10:26 编辑

   近日关于RIAD培训中NT的案例有几个学员来电咨询分析方法。

   这个案例是08年所做案例，结果比较奇特，之所以奇特，是因为文件系统比较特别。偶数盘，第一个分区簇大小为1个扇区，导致了MFT开始于奇数扇区，所以分析校验块就无法下手，因为同一个扇区号的有两个FILE，其他两个硬盘对应扇区号为0000，这是因为MFT开始于奇数扇区导致的，分析起来比较麻烦。

   根据分区表，我们分析第二个分区的开始至，搜索到DBR后，分析MFT的开始位置，跳转后进行分析，这时发现MFT记录很少，无法得到阵列的结构，分析陷入僵局。

我们再回到$MFT这个记录，分析记录的80属性，发现有两个数据走向（datarun），第一个数据走向就是我们看到的很少的记录，看看大小，的确很小，再分析第二个数据走向，发现比较大。我们就从第二个入手分析。切记第二个事相对于第一个为零的，所以要加上第一个数据走向的开始簇号才行。

通过这个案例，我们能体会到文件系统在阵列中的重要性。

rainhe · 发表于 2012-6-2 10:54:24

wsyxdl 发表于 2012-6-2 08:32
如果有视频教程那就更好了哈

等着吧......

denli007 · 发表于 2012-5-25 18:45:24

帮楼主更正一下，下面应该是RAID，对于数据恢复我还很生疏，前几天我接了个服务器，是进不来系统，做的RAID5，我跟客户说要先恢复数据，先修机器害怕数据会丢失！客户也不敢冒险，其实就是阵列坏了，我们直接恢复阵列后数据就出来了，不知道咱们的RAID数据恢复是不是恢复的这种情况，有待楼主指教了

wsyxdl · 发表于 2012-6-2 08:32:59

如果有视频教程那就更好了哈

awolfs8888 · 发表于 2012-7-7 13:55:28

期待中。。。。。。。。。。。

rainhe · 发表于 2012-7-7 17:28:53

awolfs8888 发表于 2012-7-7 13:55
期待中。。。。。。。。。。。

视频已经发了。

rainhe · 发表于 2012-7-24 14:40:53

denli007 发表于 2012-5-25 18:45
帮楼主更正一下，下面应该是RAID，对于数据恢复我还很生疏，前几天我接了个服务器，是进不来系统，做的RAID ...

打错了，呵呵。谢谢。

youqingtian · 发表于 2012-9-6 14:38:34

纳尼？

额没看到

chegol · 发表于 2012-11-21 17:11:31

{:13|}无法下载！！！！

sdshi · 发表于 2013-7-1 23:15:20

老大，没看到视频啊

qianxiao12 · 发表于 2015-4-9 19:28:27

无法下载！！！！

男孩 · 发表于 2017-6-24 16:34:50

000000000000000000000000000

sususu · 发表于 2017-10-5 09:29:50

学习了，赞一个。

shujuliu2020 · 发表于 2017-11-1 11:52:43

这个面授中是个烧脑的案例

		自动登录	找回密码
密码			加入雨荷

动态微博

案例-212 NT系统RAID分析思路

本帖子中包含更多资源

	搜索
热门搜索： rainhe 视频数据恢复培训 RAID