【技术分享】磁盘阵列的重组恢复其实并不难

在上一篇文章《RAID磁盘阵列你了解多少？》中分析了几种常见RAID级别的数据存储结构。忘记的小伙伴抓紧复习一下。今天咱们来一起学习一下如何对RAID进行重组恢复。

     进行RAID重组之前，首先需要知道磁盘阵列采用的RAID级别，一般可以通过成员盘数量进行初步判断。这就需要清楚每种RAID对成员盘数量的要求。比如RAID 0和RAID 1成员盘数量为2，如果再多的话就可能是RAID 10 或者RAID 0+1了。RAID 5要求成员盘数量最少为3，RAID 6成员盘一般最少为4。所以可以根据成员盘的数量进行初步判断，当然这只能作为初步判断的方式，因为有些磁盘阵列还会加入“热备”盘。

RAID 0：称之为“Stripe”，条带式存储。数据存储时，以单位扇区为数据条带将数据分散存储在成员盘上，没有冗余校验。

1号成员盘                              2号成员盘

RAID 1：成员盘间数据存储方式互为备份关系，也称之为“Mirror”。是所有RAID级别中安全性最高的。

判断磁盘阵列是否为RAID 1太简单了。可以借助X-Ways/Winhex中的同窗比较功能。发现底层数据完全相同，即可肯定该磁盘阵列为RAID 1结构。

RAID 5：相较以上两种RAID级别，RAID5加入了冗余校验，采用了异或运算（XOR）的方式对数据条带进行校验并作为冗余存储在同条带的成员盘中。

分析出RAID级别后，接下来就可以继续分析RAID参数了。只有知道了RAID的参数后才可以根据参数进行RAID重组恢复。

RAID 0:

前面提到RAID 0成员盘数量是两块，而且有没有校验。所以可以肯定底层数据中肯定有且只有一块成员盘的0扇区是MBR。既然是RAID磁盘阵列，那么就是将两块成员盘当做一块硬盘，在系统下进行初始化的时候，自然也就只写入了一个MBR。由此便可知，有MBR的为第一块成员盘，没有MBR的为第二块成员盘，盘序就此分析出来了。

RAID 1:RAID 1在进行重组恢复时其实不需要分析相关的参数，因为其结构的特殊，两块成员盘的数据完全相同，所以在进行恢复的时候，只需要分析其数据的“新鲜程度”选择其一进行单盘恢复即可。

RAID 5:不能完全凭借MBR特点进行判断了。由于RAID 5有冗余，而第一个条带中有可能除1号盘外的成员盘没有数据，所以RAID 5成员盘中底层有可能有两个MBR，或者有一个特别类似的MBR。一个为正常硬盘初始时化生成的，另一个是通过异或运算所得结果。所以没有办法完全通过MBR出现的位置判断盘序。

通过MFT非常清楚的可以分辨，该区域为校验带。接下来，在校验带中取任意一个MFT得到其扇区数。

04.img：177678 MOD 1024=526  对应3号    2号

03.img：177964 MOD 1024=812  对应4号    1号

02.img：178208 MOD 1024=32   对应1号    4号

01.img：178484 MOD 1024=208  对应2号    3号

至此盘序就有了两种可能：

·盘序为2143

·盘序为3412

·盘序为“2143”时：

·盘序为：“3412”时：

    接下来我们判断排序。由以上四种情况可以看出，MBR可能出现的盘号为01.img或03.img别无其他可能，那么分别对两块成员盘进行加载分析，由于前面分析过03.img了可以明确的看到03.img的第0扇区全为00并不是MBR。保险起见加载01.img再次确认。

至此，以上4种可能又被排除了两种。剩下的两种可能如下。

总结一下，我们分析出了：

RAID类型：RAID 5

条带大小：256扇区

循环方向：右循环

盘序：2143

接下来加载02.img跳转至相同扇区。解析如下

有小伙伴可能想说，一点不简单，步骤繁琐。

有没有更简单的方法？

还真有！

• 运行「天鉴取证恢复系统」选择“专业工具”找到“RAID智能分析软件”，选择并运行。

• 将成员盘进行加载，同时也支持物理硬盘的加载。
  

• 在右侧选择好文件系统，点击确定即可完成全自动RAID参数分析，整个恢复过程全自动，支持RAID 0/1/5/6/HP双循环等多种RAID级别。并且可以自动判断数据“新鲜度”，自动“剔除脏盘”，真正的全自动分析。

• 分析结果会自动保存在日志里。点击“目录浏览”进行数据查看与恢复。
  

• 并且「天鉴取证恢复系统」还支持常见的监控视频恢复（碎片整理）、行车记录仪恢复、数据库碎片恢复、硬盘固件级修复（如ATA密码、译码器恢复、缺陷表等）、同时还支持SSD的固件修复。是一款功能强大，专门为实际案件设计研发的取证恢复系统。