分区结构在RAID分析中的作用

在RAID数据恢复的分析过程中，分区结构可以帮助我们确定RAID成员盘的部分盘序，还可以帮我们确定RAID在物理盘中的起始扇区等信息，下面举例说明。

用分区结构判断盘序

一个RAID-0由两块1TB的物理盘组成，为了分析该RAID-0的盘序，将两块物理盘同时用WinHex打开查看它们的第一个扇区，其中“硬盘1”的第一个扇区的内容如图17-1所示。

图17-1　“硬盘1”第一个扇区的内容

从图17-1可以看到“硬盘1”的第一个扇区内全部为0。“硬盘2”的第一个扇区的内容如图17-2所示。

图17-2　“硬盘2”第一个扇区的内容

从图17-2可以看到“硬盘2”的第一个扇区内是一个完整的MBR结构，有引导程序、分区表及结束标志。

从这两块RAID-0成员盘第一个扇区的分析很容易判断出，“硬盘2”是该RAID-0的0号盘，“硬盘1”是该RAID-0的1号盘，即“硬盘2”在前，“硬盘1”在后。

用分区结构判断RAID在物理盘中的开始扇区

下面再介绍一个用分区结构判断RAID在物理盘中的开始扇区的例子。

一个由3块成员盘组成的RAID-5，这3块成员盘已经做成文件镜像，分别命名为1.img、2.img、3.img，将它们都用WinHex打开，1.img的第一个扇区如图17-3所示。

图17-3　1.img第一个扇区的内容

从图17-3中看这个扇区既不是MBR磁盘结构第一个扇区的内容，也不是动态磁盘和GPT磁盘第一个扇区的内容。

2.img的第一个扇区如图17-4所示。

图17-4　2.img第一个扇区的内容

从图17-4中看这个扇区既不是MBR磁盘结构第一个扇区的内容，也不是动态磁盘和GPT磁盘第一个扇区的内容。

最后再看3.img，它的第一个扇区如图17-5所示。

图17-5　3.img第一个扇区的内容

从图17-5来看，这个扇区同样不是MBR磁盘结构第一个扇区的内容，也不是动态磁盘和GPT磁盘第一个扇区的内容。

以上3块成员盘的第一个扇区的数据可能是RAID控制器写入硬盘的配置信息，也就是说它们并不是该RAID-5逻辑盘内的数据。

我们尝试在每块成员盘中搜索MBR，结果在1.img的128号扇区发现了MBR，如图17-6所示。

图17-6　1.img的128号扇区的内容

然后跳转到2.img的128号扇区，发现该扇区的内容与1.img的128号扇区完全一样，如图17-7所示。

图17-7　2.img的128号扇区的内容

最后再跳转到3.img的128号扇区，发现该扇区的内容全部为0，如图17-8所示。

图17-8　3.img的128号扇区的内容

3.img的128号扇区内容全部为0，这也就能够解释为什么1.img的128号扇区和2.img的128号扇区的内容完全一样了。

从上面的分析可以得出结论，该RAID-5的真正起始位置在物理盘的128号扇区。