WINHEX-RAID0純手工恢復(fù)加超詳細(xì)講解

WINHEXRAID修復(fù)RAID0分析關(guān)于RAID，大家可能有些陌生。在個(gè)人電腦上，RAID用的不多，但是windowsXP支持跨區(qū)卷和帶區(qū)卷。Windowsserver2003支持跨區(qū)卷，帶區(qū)卷，RAID-5等。對(duì)于RAID0的分析主要在于重組磁盤，重組磁盤就需要確定盤序，塊大小，判斷磁盤加入陣列的起始位置等。確定了上述參數(shù)后就可以重組陣列達(dá)到恢復(fù)數(shù)據(jù)的目的了。但是在具體的操作中，要如何確定上述參數(shù)呢？這個(gè)就要對(duì)文件系統(tǒng)有深入的了解，特別是NTFS文件系統(tǒng)，因?yàn)镽AID基本都是采用NTFS文件系統(tǒng)，很少有采用FAT32文件系統(tǒng)的。看了馬林老師的《數(shù)據(jù)重現(xiàn)》之后發(fā)現(xiàn)，馬林老師給出的實(shí)驗(yàn)素材真是精心設(shè)計(jì)過的了。如果自己做一個(gè)RAID就會(huì)出現(xiàn)很多和馬老師的素材不一樣的結(jié)果。這里我就從如何組建一個(gè)RAID0開始然后逐步分析。馬老師給出的方法具有通用性，但是有些時(shí)候會(huì)出現(xiàn)找不到符合馬老師給出的素材的情況，那么就不能用馬老師講的方法了。我們就只能在對(duì)文件系統(tǒng)有深入的理解的前提下，分析RAID了。這就要求我們對(duì)文件系統(tǒng)有深入的理解，特別是NTFS文件系統(tǒng)。好的，下面我就從組建一個(gè)RAID0開始，分析一下RAID0。希望能給大家?guī)硪恍﹩⑹?。這個(gè)是我在windowsXP下虛擬出的三塊磁盤，每塊磁盤的大小都是200M三塊磁盤做了一個(gè)RAID0，采用NTFS格式化。上圖顯示的三塊磁盤的0號(hào)扇區(qū)，這個(gè)扇區(qū)的主要作用是一個(gè)DOS分區(qū)結(jié)構(gòu)。和基本磁盤的MBR有點(diǎn)類似。這個(gè)扇區(qū)也有一個(gè)分區(qū)表，但是只占用了一個(gè)分區(qū)表項(xiàng)。。大家看下圖分區(qū)類型是0x42起始于63號(hào)扇區(qū)，大小是0x9A200600也就是401562個(gè)扇區(qū)。而磁盤的總扇區(qū)數(shù)是409600個(gè)扇區(qū)。因?yàn)樵趙indows系統(tǒng)中采用邏輯磁盤管理也就是LDM。LDM支持JBOD,RAID0,RAID1和RAID5。要組成這些陣列類型，我們需要把我們的磁盤轉(zhuǎn)換成動(dòng)態(tài)磁盤，而LDM就是管理動(dòng)態(tài)磁盤的。動(dòng)態(tài)磁盤有兩個(gè)重要的部分，一個(gè)是LDM分區(qū)區(qū)域，它占用磁盤的絕大部分，另一個(gè)就是動(dòng)態(tài)磁盤的最后1MB，分配給LDM數(shù)據(jù)庫(kù)。LDM數(shù)據(jù)庫(kù)包含分區(qū)區(qū)域的分配情況。所以在把基本磁盤轉(zhuǎn)換成動(dòng)態(tài)磁盤時(shí)需要在磁盤最后有一定的剩余空間。我們上圖顯示的類似基本磁盤的分區(qū)表部分我們管它叫軟分區(qū)，分區(qū)類型就是0x42而基本磁盤的分區(qū)我們就叫硬分區(qū)吧。好了，現(xiàn)在我們對(duì)組成RAID的磁盤有了一個(gè)基本的了解了，我們來總結(jié)一下成員盤都是動(dòng)態(tài)磁盤，windows操作系統(tǒng)有個(gè)叫LDM的管理它們。LDM會(huì)在每個(gè)成員盤的最后1MB建立一個(gè)數(shù)據(jù)庫(kù)，記錄一些動(dòng)態(tài)盤的信息，而且這個(gè)數(shù)據(jù)庫(kù)還有一個(gè)作用，當(dāng)我們的成員盤被卸載了加載到其他機(jī)器上去之后，如果那臺(tái)機(jī)器采用的和原來的機(jī)器一樣的RAID那么我們的成員盤又可以組建成原來的RAID了，而數(shù)據(jù)不會(huì)丟失，這就方便了移植。LDM會(huì)在動(dòng)態(tài)磁盤的0號(hào)扇區(qū)建立一個(gè)如上圖所示的軟分區(qū)表。LDM數(shù)據(jù)庫(kù)中包含四個(gè)區(qū)域，一個(gè)叫做LDM私有頭，一個(gè)內(nèi)容表區(qū)域，一個(gè)數(shù)據(jù)庫(kù)記錄區(qū)和一個(gè)事物處理日志區(qū)。軟分區(qū)描述的扇區(qū)總數(shù)并沒有包括最后那1MB的LDM數(shù)據(jù)庫(kù)。好的，我們先看看是不是磁盤的最后1MB是數(shù)據(jù)庫(kù)，看看數(shù)據(jù)庫(kù)都寫了些什么。1MB就是2048個(gè)扇區(qū)，我們的磁盤有409600個(gè)扇區(qū)減去2048。那么我們的數(shù)據(jù)庫(kù)的起始扇區(qū)就是407553號(hào)扇區(qū)了?？吹搅藛幔娴氖怯袞|西簽名標(biāo)志544F434C4F434B具體的數(shù)據(jù)庫(kù)分析我們就不做了，太費(fèi)時(shí)了，如果大家有興趣可以加我共同討論。這里我只是想讓大家知道在RAID0中的各成員盤的具體結(jié)構(gòu)是怎樣的，寫入的各部分?jǐn)?shù)據(jù)有什么作用。我們回到0號(hào)扇區(qū)，找到那個(gè)軟分區(qū)表，分區(qū)表顯示分區(qū)的起始扇區(qū)是63號(hào)扇區(qū)，那么也就是說磁盤加入陣列的起始扇區(qū)是63號(hào)扇區(qū)。通過搜索發(fā)現(xiàn)前面的63個(gè)扇區(qū)除了0號(hào)扇區(qū)有一個(gè)軟分區(qū)表6號(hào)扇區(qū)有一些東西其他扇區(qū)都是零。好的，我們轉(zhuǎn)到63號(hào)扇區(qū)看看。1確定盤序：看到了嗎，硬盤1的63號(hào)扇區(qū)是DBR而其他兩塊盤的63號(hào)扇區(qū)不是DBR而是數(shù)據(jù)，這樣我們就能知道硬盤1就是這個(gè)RAID0的第一塊盤了。至于剩下的兩塊盤的盤序就通過其他方法確認(rèn)了，而且我們?cè)谶@里知道了硬盤1是RAID0的第一塊盤，那么硬盤2和硬盤3肯定就是相鄰的了。我們可以通過尋找硬盤2和硬盤3的MFT來確認(rèn)他們的盤序和塊大小。這個(gè)方法不錯(cuò)。但是很遺憾，我做的這個(gè)RAID居然找不到合適的MFT。也就是說通過比較MFT來判斷盤序和塊大小的方法就沒戲了。那我們?cè)趺崔k，馬老師貌似沒有給出方法了?？磥砦覀兊淖约簩ふ医鉀Q的方法了。因?yàn)榇薘AID采用的是NTFS文件系統(tǒng)，那么我們能不能根據(jù)對(duì)NTFS文件系統(tǒng)的特點(diǎn)，找找看能不能通過其他的一些特征來確定盤序和塊大小呢？我們通過分析DBR得出：每簇扇區(qū)數(shù)1個(gè)；$FT起始簇號(hào)401408這里就是401408號(hào)扇區(qū)了；$MFTMIRR起始簇號(hào)602111這里也就是602111號(hào)扇區(qū)了；分區(qū)總扇區(qū)數(shù)1204223個(gè)扇區(qū)；我們就想了，硬盤1已經(jīng)確定是RAID0的第一塊盤了，$MFTMIRR的起始扇區(qū)在$MFT的后面。那么系統(tǒng)就是先向磁盤寫入$MFTMIRR然后再寫入$MFT了。好的，我們就根據(jù)以MFT為線索，我們把每塊成員盤的MFT搜索出來，當(dāng)然就搜索前面幾個(gè)MFT項(xiàng)就行了。這里我就直接給出我搜索出的結(jié)果了硬盤1在20768號(hào)扇區(qū)搜到了第一個(gè)MFT項(xiàng)，這塊硬盤一共有3個(gè)MFT項(xiàng)分別是1號(hào)2號(hào)3號(hào)MFT項(xiàng)。硬盤2133823號(hào)扇區(qū)搜到了第一個(gè)MFT項(xiàng)，這塊硬盤一個(gè)找到了從0號(hào)MFT項(xiàng)到36號(hào)MFT項(xiàng)，我們知道$MFT記錄的0號(hào)MFT項(xiàng)到15號(hào)MFT項(xiàng)是NTFS文件系前面16個(gè)重要的元文件16到23號(hào)用作保留。而我們這里出現(xiàn)了36號(hào)MFT項(xiàng)，顯然這個(gè)就是文件的MFT項(xiàng)了。硬盤3200766號(hào)扇區(qū)找到了第一個(gè)MFT項(xiàng)，這塊硬盤就一個(gè)MFT項(xiàng)，是0號(hào)MFT?，F(xiàn)在我們應(yīng)該就能判斷了吧，硬盤2號(hào)記錄的是$MFT這個(gè)元文件，而硬盤1和硬盤3記錄的是$MFTMIRR這個(gè)元文件，也就是$MFT這個(gè)元文件前4個(gè)MFT項(xiàng)的備份，這個(gè)和NTFS系統(tǒng)的描述的樣。呵呵，看來分析對(duì)了。。。我們說了系統(tǒng)先寫入$MFT在寫入$MFTMIRR而硬盤2就是$MFT硬盤1和硬盤3是$MFTMIRR而我們前面已經(jīng)確定硬盤1是RAID的第一塊盤，這里我想我們就能判斷出硬盤2就是RAID0的第二塊盤了吧。硬盤3是第三塊盤。而且根據(jù)各磁盤上的MFT參考號(hào)，我們也能判斷出，系統(tǒng)先向硬盤1寫入數(shù)據(jù)，到該寫入$MFT元文件的時(shí)候，就轉(zhuǎn)到了硬盤2向硬盤2寫入，寫入完成之后又轉(zhuǎn)到了硬盤3開始寫入$MFTMIRR，因?yàn)橛脖P3記錄的MFI參考號(hào)是0接著又跳轉(zhuǎn)到了硬盤1繼續(xù)寫入沒有寫完的$MFTMIRR所以硬盤1的MFT參考號(hào)是從1號(hào)開始的，這樣就形成了一個(gè)完整的寫入過程了。。盤序分析就出來了。。。盤序就是硬盤1硬盤2硬盤32確定塊大小方法一：猜，逐個(gè)試，這個(gè)方法雖然笨了一點(diǎn)，但是很管用，我們已經(jīng)確定了盤序，磁盤加入陣列的起始扇區(qū)是63號(hào)扇區(qū)，而塊大小是2的整數(shù)次冥，也就是只可能是248163264128等等，那么就挨個(gè)試，如果塊大小吻合，那么數(shù)據(jù)就能恢復(fù)成功。這里我在選擇塊大小是128時(shí)，數(shù)據(jù)完美重現(xiàn)了，恢復(fù)完成。方法二。通過NTFS的特點(diǎn)以及根據(jù)實(shí)際的情況就行選取特征計(jì)算出塊大小，如果，實(shí)際情況是能出現(xiàn)馬林老師素材中的情況就好了，