迅维网

标题: 4盘RAID5ee数据恢复的分析 [打印本页]

作者: zhy123 时间: 2014-6-8 10:18
标题: 4盘RAID5ee数据恢复的分析

这4个盘只做了硬盘前10000个扇区的镜像，没有文件记录。
载入镜像后用winhex将镜像文件转换为磁盘。
先分析盘序:
1号盘的起始扇区是MBR(住引导记录)。

2号盘的起始扇区像是数据。

3号盘的起始扇区全是0向下翻也全是0证明是热备块。由于热备块全是0，可以通过热备块来确定块大小，在1号盘的分区表可以看到只有一个类型为07的分区也就是NTFS分区，下面先在1号盘搜索EB5290，结果在63号扇区找到了DBR,在其它盘均未找的DBR。由于块大小只能是2的倍数，(2、4、8)、16、32、64、128、256、512、1024、2048、4096等,在一号盘的63号扇区找的DBR证明块大小一定不是64，

先在到3号盘转到63号扇区上下翻全是0，

在转到128号扇区，上下翻也是全0，

再转到256号扇区，上下翻也全是0，

再转到512号扇区，发现有数据可以确定块大小为512个扇区也就是256KB。

4号盘的起始扇区也很像数据。现在已经确定块大小是512个扇区，就把四块盘全部转到512号扇区。

接下来确定盘序：

看一号盘的511号扇区数据很明显和2号盘是相连的，而1号盘和4号盘明显不相连，可以肯定4号盘是校验。

下面分析RAID5ee的走向：

先在可以确定盘序是1、2、3、4

扇区    1号盘    2号盘 3号盘 4号盘

0          D          D       HOT    P

512       D       HOT       P       D

1024       HOT    P       D       D

1536       P          D          D       HOT

分析结束：走向是左异步，由于镜像只有10000扇区就不重组了，下面附上镜像文件有兴趣的可以试试。分析有错误的地方可以指出来大家一起学习研究。

raid5ee.part1.rar (3.81 MB, 下载次数: 6)