RAID5重组与数据恢复的思路方法学习

环境是在2003下自己搭建的，5块5G的硬盘组成的RAID5，把每块硬盘单独做了镜像用来分析，分别是1.img—5.img 。首先用winhex打开5个镜像，如下图所示。

分别查看5个镜像的0号扇区，发现都是MBR，经过计算分区大小，全是5G，也就是单个硬盘的大小。所以都不是RAID5逻辑盘的有效MBR。在向下搜索“55AA”，在1.img的63号扇区发现了一个DBR，如图

其他镜像里搜索的扇区数比较大，放弃了。1.img 63号扇区的DBR经计算分区大小正好是20G，和RAID5逻辑盘的大小相符，所以可以认为是RAID5逻辑盘的有效DBR，这样就确定了raid5起始扇区在1.img的63号扇区。下面来计算一下块大小，上图中可以看到，DBR扇区的下一个扇区正好是ntldr的的起始区域，说明这个扇区和DBR扇区是连续的，所以块大小大于或等于128。下面在跳转到1.img的127号扇区看一下，是不是和128号扇区有连续性。

如上图，这个地方看不出来有没有连续性。那么只能找到$MFT的文件记录再来分析了。根据DBR中的描述，$MFT起始于分区的786432号簇，也就是6291456号扇区，这样用6291456/（5-1）+63=1572927就是mft的绝对扇区号，就算有误差也不会很大。下面把所有镜像跳转到1572927扇区，如图

1.img

 

2.img

 

3.img

 

4.img

 

5.img

 

在5.img发现了$MFT的文件记录，1.img，2.img和3.img也都是文件记录。4.img的同一扇区应该是校验。下边对比文件记录号如下：1572927号扇区1.img是C0 00 00 00      1922.img是80 00 00 00      1283.img是40 00 00 00       645.img是00 00 00 00        04.img是校验这样块大小就知道了，64*2=128 下面计算一下盘序和结构，再向下跳转128扇区看一下，1572927+128=1573055 ，经过对比，1.img应该是校验。再向下跳转128扇区，以此类推，校验快的分布就出来了。如图

 

通过雨荷论坛下载的RAID5盘序计算程序很快算出了盘序：1.4.5.3.2 。左结构。下面计算一下是同步还是异步，把上图整理一下，如图

 

继续整理

 

1573183号扇区的4个数字为文件记录号。计算同步还是异步，只需要查找768号文件记录是在1.img的1573311号扇区还是在2.img的1573311号扇区。如果在1.img的1573311号扇区，说明是左异步，如果在2.img的1573311号扇区，说明是左同步。查找后，768号文件文件记录在2.img。如下图

 

这样，所有参数都计算出来了：Raid5的起始扇区63号扇区,块大小128扇区盘序1.4.5.3.2数据结构左同步下面重组数据，如图

 winhex重组：

 

    

 R-Studio重组：

   

恢复成功，数据经验证没有问题。  今天又试验了6个盘的raid5重组，和单数盘的的区别在于校验块的判断上复杂了一些，通过对比30属性确定了校验块在哪个盘上，确定了盘序和循环方向，以及同步还是异步，最终重组成功。特此写出来共享一下。呵呵

转载原文：5个盘的raid5重组，恢复数据 

参考资料: [1] RAID5数据重组及过程研究     [2] RAID-5磁盘阵列硬盘数据恢复解决过程分享