迅维网

标题: 苹果系统阵列Pegasus_R6_RAID5 6盘阵列恢复经验 [打印本页]

作者: loyaltyzc 时间: 2015-5-29 12:41
标题: 苹果系统阵列Pegasus_R6_RAID5 6盘阵列恢复经验
本帖最后由 loyaltyzc 于 2015-5-29 17:21 编辑

第一次做苹果下的阵列，2天的样子零零散散把苹果的文件系统熟悉了，然后通过winhex逐步分析。通过客户描述，这个阵列只有1个分区，由于是6个盘的RAID5，每个盘是2T，所以数据的大小大致为10T左右。用winhex加载6个硬盘后，2个盘中第一个扇区都是保护MBR，即该阵列采用的是GPT分区。通过跳转到数据区，分析HFS+文件系统的卷头，从中获取编录文件的开始位置。编录文件的内容开始是头节点，标志是01，并得到每节点字节数是16个扇区。然后在其他盘中相近的位置也找到节点信息。然后通过节点的结构，分析出盘的顺序和条带大小。不过这里的盘的顺序并没完全分析出来，也用了一些推测和假设。硬盘顺序为4-1-5-0-2-6，条带大小为128KB，方向为右循环异步。恢复文件后发现全是一些广告的素材视频资料。

作者: C49电脑医院 时间: 2015-5-29 13:02
看你写的像天书，大师是专门给人画符的吧

作者: loyaltyzc 时间: 2015-5-29 17:22

C49电脑医院发表于 2015-5-29 13:02
看你写的像天书，大师是专门给人画符的吧

只是分享思路，我也第一次做苹果的阵列

作者: 星晟--张 时间: 2015-5-30 09:08
这个是等大师们来讨论的，还是先讲讲怎么入门吧！我比较需要这个

作者: drema 时间: 2015-5-30 10:08
楼主看不懂你在说些什么呢

作者: qq543687306 时间: 2015-5-30 11:15
看你写的像天书，大师是专门给人画符的吧

作者: Samsug 时间: 2015-5-31 13:54
好高深的东西

作者: 小鱼的爱 时间: 2015-5-31 18:55
好高大上哟，WINHEX

作者: 李波瑞 时间: 2015-5-31 19:30
向您学习了，Raid 5 没有独立的奇偶校验盘,故每块物理盘中都有校验信息，所以分析RAID-5多一个校验块的位置和方向，楼主没有说明是物理故障还是逻辑故障，向您学习了。。。实际工作中还没有接过APPLE类似的业务。R6推出也很多年了，这个是新版的R6吗？10T的话确实出乎意料了。

作者: 问路寻到 时间: 2015-5-31 19:42
看着好高深啊！

作者: loyaltyzc 时间: 2015-6-1 10:25

李波瑞发表于 2015-5-31 19:30
向您学习了，Raid 5 没有独立的奇偶校验盘,故每块物理盘中都有校验信息，所以分析RAID-5多一个校验块的位置 ...

具体原因是由于其中两个盘先后掉线最终导致不能直接查看数据。并且客户把所有的盘弄混淆了，只需要数据。分析中由于我接触苹果也很少，凭借分析NTFS阵列的相关经验(分析思路是差不多的）不过校验的判断和盘序真心有点麻烦。还有R6是不是新的我不清楚，反正从文件系统里查看到是2013.7创建的阵列，客户只分了一个区，而且是GPT分区模式，可以看到一个FAT32和HFS+。

作者: loyaltyzc 时间: 2015-6-1 10:26

小鱼的爱发表于 2015-5-31 18:55
好高大上哟，WINHEX

Winhex真心很强大~分析的最佳工具

作者: 李波瑞 时间: 2015-6-2 21:49

loyaltyzc 发表于 2015-6-1 10:25
具体原因是由于其中两个盘先后掉线最终导致不能直接查看数据。并且客户把所有的盘弄混淆了，只需要数据。 ...

不错，一通百通，向您学习了。苹果阵列在实际数据恢复工作中还没接触过。

作者: 刘杰 时间: 2015-6-4 13:54
这个软件没见过。。下面的是。WINHEX .上面的这个软件没见过。。

作者: lq2010 时间: 2015-6-14 12:05
学下分析思路

欢迎光临迅维网 (https://www.chinafix.com/)