RAID5数据恢复
乔鼎(promise)Pegasus2 R4 raid5 阵列恢复成功!
乔鼎(promise)Pegasus2 R4 raid5 阵列恢复成功!
跟客户交流中我们了解到,客户已经在天津找了多家数据恢复公司,均宣告恢复失败。
最后经朋友推荐来到了数据恢复公司。
该设备是四块3T东芝台盘组成的raid5阵列。
据客户介绍,该设备先是有一块盘掉线,在调试过程中,由于员工误操作,强制关机导致阵列无法启动,并且在尝试修复过程中搞乱了硬盘顺序,现在阵列的硬盘顺序已经无从得知。
了解了基本情况,我们数据恢复工程师团队经过讨论、研究,总结出此设备的数据恢复难点主要集中在以下几个方面:
1、该设备在国内用户很少,经过查阅资料,目前没有类似的成功经验可以借鉴。
2、该设备有两块盘已经出现物理故障,可能是由于强制关机导致,4块盘的raid5阵列,
有两块盘故障,数据恢复难度相当大。
3、客户拆卸过程中,Raid阵列的硬盘顺序已经打乱,给恢复带来难度。
4、客户要求两天内要拿到数据,没有时间进行各种尝试,必须一次成功。
面对这些困难,技术团队没有退缩。
技术小组马上开始细致的分工协作。
终于经过两天一夜的阵列底层代码分析,我们成功的弄清楚了阵列硬盘的正确顺序,块大小和块的顺序以及每一块盘的起始扇区数。
经过阵列的虚拟重组,客户的数据被完整的恢复!
当客户来取数据的时候,他带了各种水果以表达对数据恢复团队的感谢。
这次数据恢复的成功,充分体现了丰富的数据恢复经验和技术团队的专业。
数据安全,选择贵公司!我们十二年的专注,带给您的是数据安全的保障。
作为华北地区最早的数据恢复公司,我们的技术实力,值得您的信赖。
Raid5容错磁盘新建及故障恢复
3-2、RAID 1
就是“磁盘镜像” ,它可将两块磁盘作为一组,在写入数据 时,同时写入两块磁盘。所以在两块磁盘中,其内部数据是完全 一样的。在读取数据时,则可从两块磁盘同时读出,即使是来自 不同的客户端所提出的不同读取要求。这种Raid 1技术不但不会 降低写入的速度,更能提高读取的效率。不过其磁盘的容量利用 率较低,只使用了实际容量的一半。所以,RAID 1 常应用于高安 全要求的多用户环境,例如:操作系统磁盘,如图所示:
1-2、RAID 5技术
Raid 5是目前磁盘容错技术中运用最广泛的一种技术,因它成熟、可靠 的技术和完善的性能得到了更多用户的青睐。当用户在磁盘中写入数据 时,系统会计算出该数据的同位校验信息、然后将这些校验信息随着数 据同时写入各个磁盘中。这样,当有磁盘出现故障时,系统可以根据之 前写入其它磁盘的校验信息恢复故障盘中的数据。根据Raid 5的技术特 点,在做磁盘容错时,至少要准备三块磁盘(一般是同容量同型号), 三块磁盘在做完Raid 5后,总容量是二块磁盘的容量。所以N(N≧3) 块容量均为 T 的磁盘,在做完Raid 5后的总容量是T*(N-1) 。Raid 5技术 的具体实现原理,如图 所示:
2-2、在WIN2003中构建RAID5
安装硬盘 • 在虚拟机中正常关闭WIN2003。 • 为WIN2003添加三块用于组建RAID5的硬盘。 • 重起WIN2003
动态磁盘配置 • 登录系统后,打开“设备管理器”(右击“我的电脑”,依次选
择“管理”、“设备管理器”),检查磁盘驱动是否正常安装, 如果系统没有自动安装,则需要手工装上磁盘控制器的驱动。 • 然后打开“磁盘管理工具”(右击“我的电脑”,依次选择“管 理”、“磁盘管理),此时系统会提示有新磁盘需要载入,根据 提示载入即可。 • 磁盘裁入后,首先右击原数据库盘,选择“删除磁盘分区”把分 区删除掉。 • 分别右击这三个磁盘,把它们全部转换成动态磁盘。 • 最后右击任意一块动态磁盘“新建卷”,卷的类型选择“Raid-5”, “可用磁盘”选择另外两块动态磁盘,“盘符”选择与之前数据 库盘一样,“文件系统”选择NTFS,之后系统将完成格式化和数 据同步过程,如图 所示:
RAID5扩容与数据还原
RAID5扩容与数据还原RAID 5使用至少三块硬盘来实现阵列,它既能实现RAID 0的加速功能也能够实现RAID 1的备份数据功能,在阵列当中有三块硬盘的时候,它将会把所需要存储的数据按照用户定义的分割大小分割成文件碎片存储到两块硬盘当中,此时,阵列当中的第三块硬盘不接收文件碎片。
RAID 5也被叫做带分布式奇偶位的条带。
每个条带上都有相当于一个“块”那么大的地方被用来存放奇偶位。
与RAID 3不同的是,RAID 5把奇偶位信息也分布在所有的磁盘上,而并非一个磁盘上,大大减轻了奇偶校验盘的负担。
尽管有一些容量上的损失,RAID 5却能提供较为完美的整体性能,因而也是被广泛应用的一种磁盘阵列方案。
它适合于输入/输出密集、高读/写比率的应用程序,如事务处理等。
RAID 5使用至少三块硬盘来实现阵列,它既能实现RAID 0的加速功能也能够实现RAID 1的备份数据功能,在阵列当中有三块硬盘的时候,它将会把所需要存储的数据按照用户定义的分割大小分割成文件碎片存储到两块硬盘当中,此时,阵列当中的第三块硬盘不接收文件碎片,它接收到的是用来校验存储在另外两块硬盘当中数据的一部分数据,这部分校验数据是通过一定的算法产生的,可以通过这部分数据来恢复存储在另外两个硬盘上的数据。
另外,这三块硬盘的任务并不是一成不变的,也就是说在这次存储当中可能是1号硬盘和2好硬盘用来存储分割后的文件碎片,那么在下次存储的时候可能就是2号硬盘和3号硬盘来完成这个任务了。
可以说,在每次存储操作当中,每块硬盘的任务是随机分配的,不过,肯定是两块硬盘用来存储分割后的文件碎片另一块硬盘用来存储校验信息。
这个校验信息一般是通过RAID控制器运算得出的,通常这些信息是需要一个RAID控制器上有一个单独的芯片来运算并决定将此信息发送到哪块硬盘存储。
RAID 5同时会实现RAID 0的高速存储读取并且也会实现RAID 1的数据恢复功能,也就是说在上面所说的情况下,RAID 5能够利用三块硬盘同时实现RAID 0的速度加倍功能也会实现RAID 1的数据备份功能,并且当RAID 5当中的一块硬盘损坏之后,加入一块新的硬盘同样可以实现数据的还原。
如果RAID-5卷中某一块磁盘出现了故障,怎样恢复?
如果RAID-5卷中某⼀块磁盘出现了故障,怎样恢复?RAID-5 卷(RAID-5 Volume):具有数据和奇偶校验的容错卷,有时分布于三个或更多的物理磁盘。
奇偶校验是⽤于在失败后重建数据的计算值。
如果物理磁盘的某⼀部分失败,您可以⽤余下的数据和奇偶校验重新创建磁盘上失败的那⼀部分上的数据。
您不能镜像或扩展 RAID-5 卷。
在 Windows NT 4.0中,RAID-5 卷也被称为带奇偶校验的带区集。
RAID5的缺点就是在⼀块硬盘发⽣故障后,RAID组从在线状态变为降级状态,这时如果第⼆块硬盘出现故障,那么整个RAID组的数据都将丢失,这对企业来说是灾难性的。
惠普RAID5 ADG技术则在原理上克服了这⼀缺陷,其最⼤特点是部署了2个奇偶校验集,并提供了2个硬盘的容量存储这些奇偶校验信息,理论上能同时允许2块硬盘出现故障,突破了以往RAID允许在同⼀时刻只可以有⼀块硬盘发⽣故障的限制,很有效地提⾼了服务器硬盘上数据的可靠性。
RAID5 ADG⽐双RAID 0+1具有更低的实施成本,却能提供⽐ RAID 5 更⾼的容错能⼒。
我们可以认识到这两点:磁盘阵列内的硬盘是否有顺序的要求以及⾮掉线硬盘的稳定应当特别⼩⼼。
很多⼈认为磁盘阵列内的硬盘顺序不是很重要,但这是严重错误的。
假如您⽤10个硬盘做阵列,在最初初始化时,此10个硬盘是有顺序放置在磁盘阵列内,分为第⼀、第⼆…到第⼗个硬盘,是有顺序的。
如果您买的磁盘阵列是有顺序的要求,则您要注意了:有⼀天您将硬盘取出,做清洁时⼀定要以原来的摆放顺序插回磁盘阵列中,否则您的数据可能因硬盘顺序与原来的不符,磁盘阵列上的控制器不认⽽数据丢失!⽽⾄于⾃⾏操作的强制上线,则更应该⼩⼼暂时还未掉线的硬盘是否稳定。
如果在操作RAID时缺乏经验,我们建议⼤家咨询服务器售后服务⼯程师,在涉及到⼀些⾼难度的技术问题时,选择专业的数据恢复服务商也将是很好的选择。
针对⽬前RAID灾难屡见不鲜并且服务器售后服务并⾮以确保数据安全为核⼼的服务策略,越来越多的企业⽤户选择了固定数据恢复服务商。
【精品】服务器阵列-RAID故障数据恢复技巧
服务器阵列-R A I D故障数据恢复技巧服务器阵列 RAID故障数据恢复技巧-.Ihd166 { display:none; }当RAID出现故障时,硬件厂商经常会初始化你的系统或重建(REBUILD)你的RAID,那么,会造成数据无法恢复的巨大损失,因此,当RAID出现故障时,一定要正确处理。
RAID的目的就是利用磁盘空间的冗余实现数据容错,不过这是在所有的磁盘或卷没有任何问题的前提下实现的。
当RAID卷中的单个磁盘出现故障后,尽管数据可能暂时不会受到威胁,但是磁盘冗余已经没有了。
此时任何不当的操作都可能毁掉已经存放的数据。
因此,在充分享受RAID所带来的安全好处时,还应该想到它危险的一面。
RAID磁盘阵列设备,在使用过程中,经常会遇到一些常见故障,这也使得RAID在给我们带来海量存储空间的应用之外,也带来了很多难以估计的数据风险。
本文将重点介绍RAID常见故障及相关处理方式。
RAID故障注意事项1、数据丢失后,用户千万不要对硬盘进行任何操作,将硬盘按顺序卸下来(贴好标记),用镜像软件将每块硬盘做成镜像文件,也可以交给专业数据恢复中心进行。
2、不要对Raid卡进行Rebuild操作,否则会加大恢复数据的难度。
3、标记好硬盘在Raid卡上面的顺序。
4、一旦出现问题,可以拨打专业公司(恩特尔数据恢复中心)的咨询电话找专业工程师进行咨询,切忌自己试图进行修复,除非你确信自己有足够的技术和经验来处理数据风险。
常见Raid 数据丢失故障情况服务器配置网1、软件故障:a.突然断电造成RAID磁盘阵列卡信息的丢失。
b.重新配置RAID阵列信息,导致的数据丢失。
c.磁盘顺序出错,导致系统不能识别数据。
d.误删除、误格式化、误分区、误克隆、文件解密、病毒损坏等情况,导致数据丢失。
2、硬件损坏:a.raid硬盘报红灯错误,硬盘检测报错情况。
b.raid硬盘出现坏道,导致数据丢失。
c.raid一般都会有几块硬盘,同样有故障允许损坏的硬盘数量(如RAID5允许损坏其中一块),当超出损坏的硬盘数量后,RAID数据将无法正常读取。
某公司Dell服务器raid5阵列数据丢失恢复成功案例
某公司Dell服务器raid5阵列数据丢失恢复成功案例
服务器基础配置:
北京某公司的一台dell r730xd型号服务器,配备了14块硬盘组成了raid5磁盘阵列,单块硬盘容量为4TB,其中包括2块热备盘,服务器操作系统为Windows server 2012r2.。
服务故障情况介绍:
由于机房突然意外断电,重新通电后服务器无法正常使用,管理员进行了重启操作后故障还是没有解决,查看管理界面发现有3块硬盘状态为离线。
于是管理员将硬盘进行了重新上线操作,但服务器依然不可用,所有硬盘离线,raid信息丢失。
于是管理员进行服务器层面的数据恢复操作。
服务器数据恢复过程:
工程师前往客户现场,首先了解了客户服务器的故障情况,随后指导客户管理员将服务器关机、断电、将所以硬盘按照一定规则编号后从服务器上取出,妥善包装后带至数据恢复中心,连接到数据恢复专用服务器上进行镜像备份。
备份完成后将所有硬盘归还客户,使用镜像数据进行数据恢复分析。
使用数据恢复工具对每块硬盘的底层扇区进行逐一分析,最终确认了这组raid阵列的硬盘盘序、校验方式、条带大小、条带顺序等基本信息,分析到这些信息后就可以进行raid阵列虚拟重组了。
数据恢复工程师使用数据恢复工具对raid阵列进行了虚拟重组,在重组后的阵列中提取数据并进行数据验证。
通过对恢复数据的验证初步判定数据恢复完整。
数据恢复结果验证:
由客户的服务器管理员亲自对恢复的数据进行验证,经过验证,管理员确认恢复的数据完整、正确,确认本次数据恢复成功。
数据恢复结果移交:
由客户重新搭建一组raid5磁盘阵列,工程师配合将恢复出的数据迁移回客户服务器上。
本次数据恢复成功。
使用PE系统进入diskgenius软件进行raid5阵列中恢复数据
使用PE系统进入diskgenius软件进行raid5阵列中恢复数据
使用PE系统进入diskgenius软件进行raid5阵列中恢复数据
如果raid5阵列中的3块盘坏掉一块,而这个服务器又是内置的raid5卡的,那就要悲剧了。
当这个服务器的系统损坏了,那整个人就要崩溃了。
使用大白菜U盘启动工具制作的U盘,从raid5中备份恢复数据
1、在进入系统时,按F1键,进入启动选择菜单
选择最后一项,raid:embedded raid/cd/dvd-ROM
2、进入diskgenius软件
选择【06】运行最新的DiskGenius分区工具
3、在软件中,选择要进入的盘
在左边选择要备份的文件的盘符,右边点击浏览文件(可用快捷键ctrl+G)
4、点击盘符以后,就可以看到所有的文件
在所有备份的文件上,按下ctrl键,可以多选
并且在弹出的菜单上,选择“复制到…..”,就可以选择盘符和目
录,然后确定即可开始复制。
如果是raid5,复制的速度会很慢,除了耐心,还是耐心了。
raid5数据恢复方法
raid5数据恢复方法第一部分:数据恢复方案【故障描述】:某公司的一台服务器组了一个raid5磁盘阵列有两块磁盘先后掉线,服务器崩溃。
故障服务器的操作系统为linux redhat 5.3,应用系统为构架于oracle的一个oa,数据重要,时间很急。
因oracle已经不再对本oa系统提供后续支持,用户要求尽可能数据恢复+操作系统复原。
【初检结论】:热备盘完全无启用,硬盘无明显物理故障,无明显同步表现。
数据通常可恢复【恢复方案】:1、保护原环境,关闭服务器,确保在恢复过程中不再开启服务器。
2、将故障硬盘标好序号,确保在拿出槽位后可以完全复原。
3、将故障硬盘挂载至只读环境,对所有故障硬盘做完全镜像(参考<如何对磁盘做完整的全盘镜像备份>)。
备份完成后交回原故障盘,之后的恢复操作直到数据确认无误前不再涉及原故障盘。
4、对备份盘进行RAID结构分析,得到其原来的RAID级别,条带规则,条带大小,校验方向,META区域等。
5、根据得到的RAID信息搭建一组虚拟的RAID5环境。
6、进行虚拟磁盘及文件系统解释。
7、检测虚拟结构是否正确,如不正确,重复4-7过程。
8、确定数据无误后,按用户要求回迁数据。
如果仍然使用原盘,需确定已经完全对原盘做过备份后,重建RAID,再做回迁。
回迁操作系统时,可以使用linux livecd或win pe(通常不支持)等进行,也可以在故障服务器上用另外硬盘安装一个回迁用的操作系统,再进行扇区级别的回迁。
9、数据移交后,由北亚数据恢复中心延长保管数据3天,以避免可能忽略的纰漏。
【恢复周期】:备份时间,约2小时。
解释及导出数据时间,约4小时。
回迁操作系统,约4小时。
第二部分:数据恢复及系统复原过程1、对原硬盘进行完整镜像,镜像后发现2号盘有10-20个坏扇区,其余磁盘,均无坏道。
2、分析结构:得到的最佳结构为0,1,2,3盘序,缺3号盘,块大小512扇区,backward parity(Adaptec),结构如下图:3、组好后数据验证,200M以上的最新压缩包解压无报错,确定结构正确。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
RAID5数据恢复 step by step一、准备知识RAID-5是数据和奇偶校验间断分布在三个或更多物理磁盘上的、具有容错功能的阵列方式。
如果物理磁盘的某一部分失败,您可以用余下的数据和奇偶校验重新创建磁盘上失败的那一部分上的数据。
对于多数活动由读取数据构成的计算机环境中的数据冗余来说,RAID-5是一种很好的解决方案。
有一些服务器或者磁盘阵列柜会将RAID信息存储在磁盘的某些地方,一般是阵列内每块磁盘的最前面的一些扇区或者位于磁盘最后的一些扇区内。
当RAID信息存储在每块磁盘的前面的扇区时,在分析与重组RAID的时候就需要人为的去掉这些信息,否则就会得到错误的结果。
在做RAID5的数据恢复的时候,除了需要知道RAID内数据的起始扇区,还需要了解(数据)块大小(也称深度,depth)、数据与校验的方式等。
在实际应用中,阵列控制器一般要先把磁盘分成很多条带(Stripe,如图1上绿色线框起来的部分就是一个条带),然后再对每组条带做校验。
每个条带上有且仅有一个磁盘上存放校验信息,其他的磁盘上均存放数据。
数据被控制器划分为相等的大小,分别写在每一块硬盘上面。
每一个数据块的长度或者说数据块的容量就被称为块大小或者叫(条带)深度。
在阵列内,条带大小一般是相同的,即在每个磁盘内的数据块的大小和校验块的大小是一致的。
图1每一个条带内的校验盘上的内容是通过这个条带上其他磁盘上的数据做异或而来,如P1=D1 XOR D2 XOR D3(见图2)。
一般来说,在盘序是正确的情况下,校验块在RAID5内每块磁盘的写入顺序都是从第一块盘到最后一块盘或者从最后一块盘到第一块盘(如图2)。
从图上看,校验的排列总是从图的左上角到右下角,或者从图的有上角到左下角。
这就为我们判断磁盘的顺序提供了依据。
如果考虑上数据写入磁盘的顺序(这个就是所谓的校验旋转方式,以下简称旋转方式),我们便得到了如图2所示的4种数据与校验的排列形式:forward 123(右不对称)、forward dyn(右对称)、backward 321(左不对称)、backward dyn(左对称)。
其中forward dyn的方式比较不常见,在判断旋转方式的时候可以不考虑。
图2最后,不论是单独使用的磁盘还是使用多块磁盘组合成RAID,MBR始终是这个单独磁盘或者RAID的0扇区。
二、恢复过程1、一般思路对于一般的RAID5数据恢复,我们需要了解以下参数:盘序、块大小、旋转方式和数据起始扇区等。
所以,对于RAID5的数据恢复也就是通过文件系统、文件格式、磁盘内其它相关数据等来确定这四个参数的过程。
当这四个参数确定后,便可以通过相关的工具将分散在每块磁盘上数据还原为RAID5内实际的数据,从而达到恢复RAID5内数据的目的。
下面的是RAID5数据恢复的一般过程,之后将通过一个案例的分析过程来具体说明如何恢复RAID5的数据。
通过工具找到MBR与DBR,并判断硬盘内的数据是否同步—〉通过MBR的位置判断起始扇区位置—〉通过DBR找到NTFS分区的MFT记录的位置—〉通过MFT记录判断块大小、盘序、旋转方式—〉数据重组、恢复RAID5内数据2、恢复过程环境及工具:windows2003 server、Raid reconstructor3.02(以下简称RR3)、Runtimes DiskExplorer for NTFS 3.01(以下简称DE3)基本情况:这是一组由四块盘组成的RAID5,每块硬盘为100M,windows2003的操作系统,分了一个分区290M,分区格式为NTFS。
首先,打开Raid reconstructor。
①在#drives 后面的文本框中输入这个RAID5的盘数4。
②分别在Drive1、Drive2、Drive3、Drive4后输入每个磁盘或磁盘镜像的路径或单击右键进行选择。
③单击软件下面的Open drives。
图3选择Tools菜单中的XOR Test(这个命令用来测试RAID内的这些磁盘上的数据是否同步,即是否有硬盘是先掉线的),见到如图4所示的窗口。
④点击软件下方的Start 键进行XOR测试。
注意:这个测试需要这个RAID内的每一块磁盘都参与测试,否则结果不具有参考价值。
图4等测试完成后会看到如图5所示的结果。
图5在窗口的左侧,RR3用带有颜色的小方格表示测试的结果:一个小方格代表一个扇区,绿色表示XOR测试通过,红色表示测试未通过,白色表示相应扇区上没有数据。
在窗口的右侧,列出来的分区表(MBR)和启动扇区(DBR)的相关信息。
如在那个磁盘(镜像文件)的第多少扇区上有MBR或DBR,并且会有关于这个MBR或者DBR 一个简要的说明。
对于当前的这个案例来讲,从图5上可以看出:在窗口的左面均是绿色的,说明XOR测试通过,这四块磁盘上的数据是同步的;在窗口的右面,列出了在Disk1.img 的第8扇区上有MBR,第71扇区上有DBR。
在Disk3.img的1402扇区上有未知格式DBR。
从基本情况描述上了解到,这个RAID内只有一个NTFS的分区,所以这个未知格式DBR不是我们要寻找的。
我们现在来看Disk1.img上的MBR和DBR:MBR里定义了一个NTFS的分区,这个分区是从63扇区开始,大小是578277个扇区。
这些信息和这个RAID的基本情况描述的比较接近,所以这个MBR应该是这个RAID的MBR。
根据在准备知识里提到的MBR所在的扇区就是RAID的起始扇区,所以这个RAID在各个磁盘上的起始扇区就是8号扇区(扇区的编号是从0号开始的),即每块磁盘的前面8个扇区是没有用处的,在重组RAID时需要剔除掉。
使用DE3打开Disk1.img,找到DBR的位置(71扇区),在view菜单里选择as Boot Record或者直接按F10键,会看到如图6所示内容。
图6注意红框内的内容,它们分别表示每簇扇区数和$MFT所在的簇。
用$MFT所在簇乘以每簇扇区数得到$MFT位于当前分区的哪个扇区上。
因为在每个分区前面都有一部分的隐藏扇区,所以用$MFT在当前分区的位置加上当前分区前面的隐藏扇区数便得到了这个$MFT在RAID内的绝对位置(从这个RAID的0扇区开始)。
RAID5的使用容量比磁盘的实际容量少一块盘的容量(用来存储交验数据了),所以$MFT在每块磁盘上的位置就应该是用$MFT的绝对位置除以盘数减一。
又因为每块磁盘前面存有一部分RAID信息,所以$MFT在单块磁盘上的位置还要再加上RAID信息所占用的扇区数(起始扇区数)。
具体公式如下:由于数据是按照条带存储在硬盘上的,所以这个公式计算出来的MFT位置只是个大概位置,MFT在每块磁盘上的实际位置应该在这个位置附近。
而且,在这之后的有关计算会因为计算时所选取的扇区号等原因出现一些误差,一般在±4个扇区之内。
在这个例子中,MFT所在的位置=192759*1/(4-1) + 8 =64261。
所以,MFT在每块磁盘上的位置为64261扇区附近。
使用DE3打开每个镜像文件的64261扇区,在view 菜单里选择as File entry或者按F6键,会看到如图7所示内容。
图7这里面的每一条记录对应MFT里的一条记录。
这时,向下拖拽滑动条,会在记录文件名的地方出现乱码、文件名内出现非法字符(* ? \ / : “ < > | 等)或者不显示文件名或文件的属性(如图8中红框内部分)。
图8为什么在MFT的记录内会出现这种情况呢?在准备知识中曾经说过,RAID5直所以可以容错是因为RAID5对每个条带内的数据做了XOR校验,并将校验的结果按照规律均匀的存储在RAID5内每块硬盘上。
之所以在MFT的记录内会出现如图8所示的现象就是因为这块区域存储的是校验内容。
所以,我们只需要找到出现问题的MFT记录起始位置与结束位置,就可以确定校验块的容量,而这个校验块的容量就是块大小。
如何在这个案例中,出现问题的MFT记录是从64392扇区开始的,到64520扇区结束。
所以,这个案例的块大小就是64520-64392=128个扇区。
由于每个盘上的数据块和校验块出现的顺序是一定的(见图1、图2),所以可以通过确定校验块位于RAID5的哪个条带上,从而确定磁盘的盘序。
即,分别找到每一个磁盘或者镜像文件内MFT记录的一个校验块的末尾扇区,用这个扇区数减去起始扇区数的结果与块大小和盘数的乘积取余,所得的结果除以块大小,最后的这个得数就是这个校验块位于哪个条带上。
具体公式如下:所以,Disk1.img的校验块位于的条带号是((64520—8)MOD(128*4))/128 =0 =4,用同样的方法计算余下硬盘镜像内的校验块的位置,Disk2.img的校验块位于的条带号是((64898—8)MOD(128*4))/128≈2.95≈3,Disk3.img的校验块位于的条带号是((64776—8)MOD(128*4))/128≈2,Disk4.img的校验块位于的条带号是((64646—8)MOD(128*4))/128≈1。
参考图2,可以得到盘序是1234 Backward的或者是4321 Forward的。
由于在Disk1.img上存在MBR,所以Disk1.img上的数据应该是RAID5内的起始数据块,或者说Disk1.img上的数据是条带1上D1。
当盘序为1234 Backward时,这种数据的存放方式符合Disk1.img上的数据是条带1上D1;当盘序为4321 Forward时,条带上的第一个数据块D1位于Disk3.img上,这个与Disk1.img上的数据是条带1上D1不符。
所以,盘序是1234 Backward。
至此,我们已经分析出来了起始扇区位置、盘序和块大小,再分析出旋转方式,对于RAID5的分析就完成了。
再分析旋转方式之前,先介绍一下MFT记录文件的方式。
MFT中对于文件的记录采用的是一种被称为“B-tree”的管理方式。
简单的说,就是在MFT中记录的文件名一般都是按字母(中文按拼音字母)升序排列。
使用DE3察看MFT记录会看到每条文件记录中的文件名与该条记录附近记录的文件名有很高的相关性(一致性)。
图9这种对于文件记录的管理方式为我们提供了判断数据之间关系的依据,即相邻的带有MFT记录的数据块内的文件记录的相关程度好与非相邻数据块内的文件记录。
条带条带条带条带图10如图10所示,当磁盘3中位于条带1上的数据块(D3)与磁盘4位于条带2上的数据块(D6,见图10左侧backward部分)相连时,旋转方式就是backward dyn;当磁盘3中位于条带1上的数据块(D3)与磁盘1位于条带2上的数据块(D4,见图10左侧backward部分)相连时,旋转方式就是backward 321。