重組Raid5
第一步:判斷RAID5條帶大小
- 利用winhex同時打開6個物理鏡像每塊成員盤中的$MFT文件記錄(16進制搜索“46494c45”),並且保證找到的文件記錄在每塊物理盤的同一扇區(在各個鏡像中個搜索一遍,發現搜索的第一遍的文件記錄所在的扇區數不一致,而為了在同一扇區找出文件記錄號,就要尋找在搜索的第一遍的文件記錄所在的最大的扇區數(4112),然后讓其他5個鏡像都跳至4122扇區,找到的文件記錄);
- 這6塊成員盤在4112號扇區的文件記錄號分別為256、0,64、192、128、256,文件記錄號之間的差值為64,說明該RAID5條帶大小是64個文件記錄的大小,每個文件記錄為2個扇區所以條帶大小為128扇區。
- 第一步中分析出條帶大小為128扇區,在4112扇區基礎上,往后跳轉128扇區,記錄下鏡像1-6的文件記錄號,再往后跳轉128扇區,記錄下鏡像1-6的文件記錄號,總共記錄4-5次,記錄完成后按大小順序排列調整后
第二步:判斷成員盤的初步盤序和校驗方向
| 扇區數\鏡像序/ 記錄號 |
2 |
3 |
5 |
4 |
1 |
6 |
| 4112 |
0 |
64 |
128 |
192 |
256 |
256 P |
| 4240 |
384 |
448 |
512 |
576 |
320 P |
320 |
| 4368 |
768 |
832 |
896 |
896 P |
640 |
704 |
| 4496 |
1152 |
1216 |
960 P |
960 |
1024 |
1088 |
| 4624 |
1536 |
1536 P |
1280 |
1344 |
1408 |
1472 |
| 4752 |
1600 P |
1600 |
1664 |
1728 |
1792 |
1856 |
2. 文件記錄號是從校驗塊緊隨的塊從小到大排列的,就是說每個條帶組內的第一個數據塊首先寫入校驗塊所在的成員盤的下一成員盤中,其余數據塊依次寫入,所以可以判斷此RAID5為左同步結構。
第三步:判斷開始扇區和成員盤的最終盤序
- 在每塊成員盤中搜索MBR即16進制搜索“55AA”結果在4號盤的3616扇區發現了MBR,跳轉到其他扇區的3616扇區,在1號盤為DBR,2號盤,3號盤,6號盤均為0,5號盤類似MBR。得出
RAID-5的起始位置(開始扇區)在3616號扇區
- 即成員盤的最終盤序為4號à1號à6號à2號à3號à5號
第四步:重組RAID
根據之前判斷的RAID的結構參數, 起始位置為3616號扇區, 條帶大小為128扇區,左同步結構。利用Specialist-ReconstructRAIDSystem功能,設置對應的參數,如下圖
第五步:恢復目標文件計算MD5值
RAID重組完成,可以看到一個1.5G大小的分區,雙擊分區打開,找到RAID-3-1/1.txt文件,拷貝至指定目錄,打開恢復的1.txt文件
至指定目錄,打開恢復的1.txt文件