- PRODUTOSFREEWAREPARA USO COMERCIALPARA USO PESSOAL E EMPRESARIALBackup e Restauração do Sistema:Privacidade e segurança do PC:
- COMPRAR ONLINE
- DISTRIBUIÇÃO
-
Encontrando parâmetros RAID
Quando discutimos a recuperação de dados RAID, presumimos que já conhecíamos os parâmetros RAID. No entanto, em alguns casos, não sabemos os parâmetros RAID a serem reconstruídos. Como você encontra os parâmetros necessários? Os fornecedores de RAID podem ajudá-lo com seus valores padrão, mas às vezes os parâmetros foram personalizados e agora são desconhecidos. O R-Studio pode ajudar neste caso? Sim, podemos usar a detecção automática de parâmetros RAID ou o editor de texto/hexadecimal integrado para analisar dados em componentes RAID com o objetivo de encontrar seus parâmetros. Neste artigo mostraremos como fazer isso, usando um simples NTFS RAID 5 como exemplo. O artigo Detecção Automática de Parâmetros RAID explica como encontrar parâmetros de RAID automaticamente.
Tal tarefa requer pelo menos um conhecimento básico de estruturas de dados RAID e sistemas de arquivos. Se necessário, você pode encontrar algumas informações úteis nesses sites.
RAIDs: http://en.wikipedia.org/wiki/RAID
Noções básicas de NTFS: http://en.wikipedia.org/wiki/NTFS
NTFS detalhado: http://technet.microsoft.com/en-us/library/cc758691.aspx
Então, vamos tentar encontrar os parâmetros necessários para um simples RAID 5 desconhecido.
Seus parâmetros conhecidos são:
1. Número de discos: Três
2. Sistema de arquivos: NTFS (criado pelo Windows XP/2003 e posteriormente usando um Master Boot Record padrão (bloco inicial MBR)
3. Tipo: Volume Básico
Seus parâmetros desconhecidos que devem ser encontrados são:
1. Ordem dos discos
2. Bloco tamanho 3
3. Ordem de bloco
4. Offset do disco
Os discos RAID são representados como arquivos de imagem criados no R-Studio:
Disk1.arc
Disk2.arc
Disk3.arc
Clique na imagem para ampliar
Arquivos de imagem de componentes RAID
Observe que, embora o R-Studio tenha encontrado um objeto Disk1 em Disk2.arc, isso não indica necessariamente que este é o primeiro disco no RAID.
Encontrando o Registro Mestre de Inicialização
Primeiro, precisamos encontrar o MBR para determinar um RAID offset.
1. Um após o outro, abra todos os arquivos de imagem da árvore no editor de texto/hexadecimal.
2. Não ative a gravação para evitar corrupção acidental de dados nos objetos que estão sendo editados!
3. Anote a assinatura do disco do Windows para cada objeto para reconhecer posteriormente qual janela do editor pertence a qual objeto.
4. Procure o bloco inicial MBR. Na caixa de diálogo Search, insira 33 C0 8E D0 BC (este é um bloco inicial MBR padrão, mas em alguns casos pode ser diferente) no campo HEX ; em seguida, selecione Da posição inicial e insira 0 em Pesquisar no deslocamento.
5. Clique em OK para iniciar a pesquisa.
Dados na caixa de diálogo Search para iniciar a pesquisa pelo Master Boot Record (MBR)
Resultados da pesquisa:
Clique na imagem para ampliar
Disk1.arc aberto no editor de texto/hexadecimal
Clique na imagem para ampliar
Disk2.arc aberto no editor de texto/hexadecimal. Padrão MBR encontrado.
Clique na imagem para ampliar
Disk3.arc aberto no editor de texto/hexadecimal. Padrão MBR encontrado.
O resultado é que o editor de texto/hexadecimal encontra esse padrão no endereço 00 em Disk2.arc e Disk3.arc; Disk1.arc mostra apenas zeros. Isso significa que o offset é 0 e Disk1.arc não pode ser o primeiro disco no RAID.
Enquanto isso, o Editor reconheceu corretamente esses padrões em Disk2 e Disk3 como código mestre do carregador de bootstrap. No nosso caso, dois discos têm os mesmos dados MBR em um mesmo local.
Agora, como segundo passo, precisamos encontrar o setor de inicialização NTFS.
Dê uma olhada no campo Setores anteriores à partição no painel Template
Clique na imagem para ampliar
Painel template para Disk2 e Disk3
Para o nosso caso, o setor anterior à partição é 16,065.
Se esse valor for maior que 63, devemos dividi-lo por N -1, onde N é o número de discos (no nosso caso, N = 3), o que nos dá 8,032. Esta é uma posição aproximada para começar a procurar o setor de inicialização NTFS. Iniciaremos a pesquisa a partir desta posição para evitar encontrar setores de inicialização NTFS falsos que possam permanecer de partições NTFS anteriores.
Vá para esse setor no Editor e procure o padrão do setor de inicialização NTFS.
Clique na imagem para ampliar
O campo de pesquisa de setores no editor de texto/hexadecimal.
Na caixa de diálogo Search, digite EB 52 90 4E 54 46 53 20 20 20 20 (o setor de inicialização NTFS sempre começa a partir desses bytes) no campo HEX, selecione Da posição atual e digite 0 em Pesquisar no offset.
Clique na imagem para ampliar
Dados na caixa de diálogo Search para iniciar a pesquisa do setor de inicialização NTFS.
O Editor encontra esse padrão no setor 8064 em Disk2 e Disk3.
Agora selecione o padrão Setor de inicialização NTFS no painel Template.
Clique na imagem para ampliar
Disk2.arc aberto no editor de texto/hexadecimal. Padrão do setor de inicialização NTFS encontrado. O mesmo padrão é encontrado em Disk3.arc.
Parâmetros necessários que encontramos.
Bytes por setor: 512
Setores por cluster: 8
Número de cluster lógico para o arquivo $MFT: 786432
Parâmetros encontrados anteriormente:
RAID offset: 0
Em seguida, precisamos encontrar a MFT (tabela de arquivos mestre) no disco:
1. Tentaremos encontrar um offset MFT aproximado do início do RAID:
Offset MFT do início da partição em setores = Número lógico do cluster para o arquivo $MFT * Setores por cluster+deslocamento RAID = 786.432*8+0 = 6,291,456
Se o offset do RAID não for 0, precisamos adicionar o deslocamento ao resultado da equação acima.
Início MFT no primeiro disco = offset MFT do início da partição em setores/(N-1) = 6,291,456/2 = 3,145,728
2. Começaremos a procurar o início exato da MFT em uma posição alguns milhares de setores abaixo desse valor. Digamos, setor 3,140,000.
Na caixa de diálogo Search, digite "ARQUIVO" no campo ANSI, selecione Da posição atual e digite 0 em Pesquisar no offset.
Clique na imagem para ampliar
Esse padrão é encontrado no setor 10,241,463 no Disk2 e no setor 3,153,792 no Disk3.
Clique na imagem para ampliar
Primeiro setor de registro de arquivo em Disk3. Início de um bloco de dados.
O que é importante: A assinatura FILE termina com 0, o que significa que o número do registro do arquivo não é substituído por uma correção. Se terminasse com * (FILE*), não poderíamos prosseguir em nossa pesquisa e precisaríamos usar outra técnica.
O padrão $.M.F.T. (HEX 24 00 4D 00 46 00 54) mostra que este é um início MFT correto.
Como o setor 3,153,792 está mais próximo de nosso valor esperado do setor 3,145,728 do que do setor 10,241,463, podemos assumir que o Disk3 é o primeiro disco no RAID.
Para prosseguir, precisamos ter em mente que um registro de arquivo em MFT ocupa dois setores e que os dados são gravados em um RAID 5 sucessivamente, um bloco de dados em um disco, depois o próximo bloco de dados no próximo disco e um bloco de paridade para o terceiro disco. Podemos representar um exemplo de tal esquema na tabela a seguir...
| Primeiro disco RAID | Segundo disco RAID | Terceiro disco RAID |
| PD | 1 | 2 |
| 3 | PD | 4 |
| 5 | 6 | PD |
(Esta tabela representa apenas um exemplo e a ordem dos blocos pode ser arbitrária em um caso geral.)
Aqui, isso significa que os números de registro de arquivo no MFT aumentarão em um dentro de um bloco de dados. Em seguida, o MFT continuará em outro disco, onde os números de registro do arquivo aumentarão em um dentro de seu respectivo bloco de dados, o terceiro disco contendo o bloco de paridade. E assim por diante.
Portanto, para encontrar o tamanho do bloco, examinaremos os números de registro de arquivo neste disco para descobrir o local onde eles não aumentam mais em um. Este lugar significaria o fim daquele bloco de dados. Em seguida, examinaremos outros discos para encontrar o disco e o local nele onde os números de registro de arquivo na MFT continuam aumentando em um. Em seguida, examinaremos outro disco para descobrir onde o MFT continua e assim por diante.
Essa pesquisa pode ser feita rolando o texto no Editor em dois setores.
No Disco 3, o bloco de dados termina no setor 3,153,919 com o registro de arquivo número 3F 00.
Clique na imagem para ampliar
Último registro de arquivo em Disk3. O fim de um bloco de dados está no próximo setor (3,153,919).
Observando outros discos, descobrimos que esta MFT continua no Disco 1 no setor 3,153,792 com o registro de arquivo número 40 00 e termina no Sec: 3,153,919 com o registro de arquivo número 7F 00. E assim por diante.
Clique na imagem para ampliar
O registro do arquivo continua no Disk1. Início de um bloco de dados.
Clique na imagem para ampliar
Último registro de arquivo em Disk1. O fim do bloco de dados está no próximo setor (3,153,919)
Os resultados finais estão representados na tabela abaixo:
| Disk1 | Disk2 | Disk3 |
|
Sec: 3,153,792 Rec: 40 00 Sec: 3,153,918 Rec: 7F 00 Sec: 3,153,919 Fim da faixa. |
Sec: 3,153,792 Sem registros Sec: 3,153,918 Sem registros Sec: 3,153,919: Fim da faixa. |
Sec: 3,153,792 Rec: 00 00 Sec: 3,153,918 Rec: 3F 00 Sec: 3,153,919 Fim da faixa. |
|
Sec: 3,153,920 Rec: Sem registros Sec: 3,154,046 Rec: Sem registros Sec: 3,154,047 Fim da faixa. |
Sec: 3,153,920 Rec: C0 00 Sec: Sec: 3,154,046 Rec: FF 00 Sec: 3,154,047 Fim da faixa. |
Sec: 3,153,920 Rec: 80 00 Sec: 3,154,046 Rec: BF 00 Sec: 3,154,047 Fim da faixa. |
|
Sec: 3,154,048 Rec: 00 01 Sec: 3,154,174 Rec: 3F 01 Sec: 3,154,175 Fim da faixa. |
Sec: 3,154,048 Rec: 40 01 Sec: Sec: 3,154,174 Rec: 7F 01 Sec: 3,154,175 Fim da faixa. |
Sec: 3,154,048 Rec: Sem registros Sec: 3,154,174 Rec: Sem registros Sec: 3,154,175 Fim da faixa. |
Clique na imagem para ampliar
Exemplo de um setor de paridade
Olhando para a tabela acima, podemos encontrar os seguintes parâmetros:
Ordem do disco:
Primeiro disco RAID Disk3.arc
Secundo disco RAID Disk1.arc
Terceiro disco RAID Disk2.arc
Offset: 0
Tamanho da faixa: 128 setores ou 65,536 KB (64 KB)
Ordem de distribuição: (PD significa Paridade de Dados)
| Primeiro disco RAID | Segundo disco RAID | Terceiro disco RAID |
| 1 | 2 | PD |
| 3 | PD | 4 |
| PD | 5 | 6 |
Agora podemos criar um RAID no R-Studio:
Clique na imagem para ampliar
Objeto RAID 5 criado no R-Studio
R-Studio encontra um sistema de arquivos válido no RAID (Partição 1)
Clique duas vezes em Partição 1 para enumerar seus arquivos:
Clique na imagem para ampliar
Estrutura de Pastas/Arquivos encontrada pelo R-Studio
O R-Studio mostra uma estrutura de pastas/arquivos válida, o que é um bom sinal. Para finalmente verificar se criamos o RAID com os parâmetros corretos, você pode visualizar um arquivo. Um arquivo para visualização deve ser maior que o tamanho do bloco * (Número de discos -1). 128 KB para o nosso caso.
Clique na imagem para ampliar
Visualização do arquivo Figura 236.jpg
O arquivo é visualizado com sucesso. Criamos um RAID com os parâmetros corretos.
- Data Recovery Guide
- Software de recuperação de arquivos. Por que R-Studio?
- R-Studio para Negócios Forenses e de Recuperação de Dados.
- R-STUDIO Review on TopTenReviews
- Especificações de recuperação de arquivos para SSD e outros dispositivos que suportam o comando TRIM/UNMAP
- Como recuperar dados de dispositivos NVMe
- Prevendo o Sucesso de Casos Comuns de Recuperação de Dados
- Recuperação de Dados Substituídos
- Emergency File Recovery Using R-Studio Emergency
- Apresentação de Recuperação de RAID
- R-Studio: Recuperação de dados de um computador não funcional
- Recuperação de Arquivos de um computador que Não Inicializa
- Clonar Discos Antes da Recuperação de Arquivos
- Recuperação de vídeo HD de cartões SD
- File Recovery from an Unbootable Mac Computer
- The best way to recover files from a Mac system disk
- Recuperação de Dados de um Disco Linux Criptografado após uma Falha do Sistema
- Recuperação de dados de Imagens de Disco da Apple (arquivos .DMG)
- Recuperação de Arquivos após a Reinstalação do Windows
- R-Studio: Recuperação de Dados pela Rede
- Como usar o pacote R-Studio Corporate
- Recuperação de Dados de um Disco NTFS Reformatado
- Recuperação de Dados de um Disco exFAT/FAT Reformatado
- Recuperação de Dados de um disco HFS ou HFS+ Apagado
- Recuperação de dados de um disco APFS apagado
- Recuperação de dados de um disco Ext2/3/4FS reformatado
- Recuperação de Dados de um NAS simples
- Como conectar volumes virtuais RAID e LVM/LDM ao sistema operacional
- Trabalho conjunto do hardware R-Studio e PC-3000 UDMA
- Trabalho conjunto de R-Studio e HDDSuperClone
- Specifics of File Recovery After a Quick Format
- Data Recovery After Partition Manager Crash
- File Recovery vs. File Repair
- Data Recovery from Virtual Machines
- Recuperação de Dados de Emergência pela Rede
- Data Recovery over the Internet
- Creating a Custom Known File Type for R-Studio
- Encontrando parâmetros RAID
- Recovering Partitions on a Damaged Disk
- NAT e Firewall Traversal para Recuperação Remota de Dados
- Data Recovery from an External Disk with a Damaged File System
- Noções Básicas de Recuperação de Arquivos: Como Funciona a Recuperação de Dados
- Default Parameters of Software Stripe Sets (RAID 0) in Mac OS X
- Data Recovery from Virtual Hard Disk (VHD) Files
- Data Recovery from Various File Container Formats and Encrypted Disks
- Automatic RAID Parameter Detection
- IntelligentScan Data Recovery Technology
- Imagens multi-passagem no R-Studio
- Criação de Imagens Runtime no R-Studio
- Criação de Imagem Linear vs Imagem Runtime vs Imagem Multi-Passagens
- USB Stabilizer Tech para dispositivos USB instáveis
- R-Studio T80+ - Uma solução profissional de recuperação de dados e forense para pequenas empresas e indivíduos por apenas US$ 1/dia.
- Backup Articles
- Software de Backup. Backup com Confiança
- R-Drive Image como um poderoso gerenciador de partições gratuito
- Recuperação de Computador e Restauração do Sistema
- Disk Cloning and Mass System Deployment
- Accessing Individual Files or Folders on a Backed Up Disk Image
- Creating a Data Consistent, Space Efficient Data Backup Plan for a Small Business Server
- How to Move the Already Installed Windows from an Old HDD to a New SSD Device and Create a Hybrid Data Storage System
- How to Move an Installed Windows to a Larger Disk
- How to Move a BitLocker-Encrypted System Disk to a New Storage Device
- How to backup and restore disks on Linux and Mac computers using R-Drive Image
- Undelete Articles
- Então, o que preciso fazer para recuperar arquivos apagados?
- Recuperação gratuita de cartões SD e de Memória
- R-Undelete: Video Recovery
- Recuperação de arquivos de um Disco Externo com um Sistema de Arquivos Danificado, Excluído, Formatado ou Não Suportado
- R-Undelete: recuperação de arquivos de um computador não funcional
- Recuperação Gratuita de Arquivos num Cartão de Memória de Celular com Android
- Instruções para a Recuperação de Arquivos de Fotos e Vídeos
- Recuperação fácil de arquivos em três etapas
Rating: 4.8 / 5
R-TT may not be the easiest or most user-friendly solution, but the algorithm used for the renaming saved me THOUSAND of hours of opening ...
Bought it and 100% recommend it for anyone with a similar issue.
I was reluctant as it seemed pricey compared to other programs, but damn worth every penny. It managed to even find files I thought were wiped from existence.
Kudos to r-tools, thank you!
I`m an IT professional who has worked from home for over a decade. Early on in my career, I configured an HP ProLiant Server (Raid 1+0) as a workstation that I would remote into from my laptop. As technology evolved, I began to use it only for email and as a config file repository.
A short while ago, one of the drives degraded, but the HP ProLiant Server (Raid 1+0) still functioned fine on the remaining drive. I was complacent and didn`t replace the ...