$BOOT文件由DBR和NTLDR区域构成,DBR中的BPB参数对分析RAID结构很有帮助,另外,$BOOT文件有时候还能够帮助我们判断条带大小以及RAID成员盘的盘序。
在分析NTFS文件系统的RAID结构时,经常会从$MFT文件入手,所以能够准确、快速地找到$MFT文件在物理盘中的位置是分析的前提。
举例来说,一个由两块成员盘组成的RAID-0,这两块成员盘已经做成文件镜像,分别命名为1.img、2.img,将它们都用WinHex打开,在1.img的63号扇区找到了一个NTFS的DBR,如图17-9所示。
用WinHex模板查看一下这个DBR的BPB参数,如图17-10所示。
从图17-10的BPB参数中能够知道该文件系统每簇扇区数为8,$MFT文件的开始簇号为786432,所以可以计算出$MFT文件在该逻辑卷中的扇区号为786432×8=6291456,而该RAID是由两块物理盘组成的,所以$MFT文件在物理盘中的开始扇区大致为(6291456/2)+63=3145791。跳转到1.img的3145791号扇区,果真是$MFT文件的开始,如图17-11所示。
一个由3块成员盘组成的RAID-5,这3块成员盘已经做成文件镜像,分别命名为1.img、2.img、3.img,将它们都用WinHex打开,通过分析发现1.img的31号扇区是NTFS文件系统的DBR,如图17-12所示。
NTFS文件系统的DBR后面应该紧跟着NTLDR区域,但1.img的32号扇区却不是NTLDR区域,如图17-13所示。
1.img的32号扇区不是NTLDR区域的内容,说明其32号扇区没有跟31号扇区的DBR衔接,所以32号扇区与31号扇区不是一个条带内的数据,通过这一点基本可以判断该RAID-5的条带大小为32扇区。
继续分析发现2.img的32号扇区是NTLDR区域的内容,如图17-14所示。
这说明2.img的32号扇区的内容是衔接在1.img的31号扇区之后的,所以可以推断出1.img和2.img在盘序上的衔接性。