Quando abbiamo discusso del recupero dei dati da una configurazione RAID, abbiamo ipotizzato di conoscere già i parametri RAID. Tuttavia, vi saranno acluni casi in cui non i parametri del RAID da ricostruire non saranno noti. Come trovare i parametri richiesti? I fornitori dei sistemi RAID possono aiutarti con i loro valori predefiniti, ma a volte i parametri sono stati personalizzati e quindi la cosa si fa più complicata. R-Studio può aiutare anche in questo caso, possiamo utilizzare il rilevamento automatico dei parametri RAID o l'editor di testo/esadecimale integrato per analizzare i dati nei RAID allo scopo di trovarne i parametri. In questo articolo ti mostreremo come farlo, usando un semplice RAID 5 NTFS come esempio. L'articolo Rilevamento automatico dei parametri RAID spiega come trovare automaticamente i parametri RAID

Tale attività richiede almeno una conoscenza di base delle strutture di dati RAID e dei file system. Se necessario, troverai alcune informazioni utili su questi siti Web.
RAID: http://en.wikipedia.org/wiki/RAID
Nozioni di base su NTFS: http://en.wikipedia.org/wiki/NTFS
NTFS in dettaglio: http://technet.microsoft.com/en-us/library/cc758691.aspx

Quindi, proviamo a trovare i parametri richiesti per un semplice RAID 5 sconosciuto.

I parametri noti sono:
1. Numero di dischi: tre
2. File System: NTFS (creato da Windows XP/2003 e versioni successive utilizzando un Master Boot Record standard (blocco di avvio MBR)
3. Tipo: volume base

I suoi parametri sconosciuti che devono essere trovati sono:
1. Ordine del disco
2. Dimensione blocco 3
3. Ordine di blocco
4. Offset del disco

I dischi RAID sono rappresentati come file immagine creati in R-Studio:
Disk1.arc
Disk2.arc
Disk3.arc

Clicca sull'immagine per ingrandire
File immagine dei componenti RAID

Si noti che anche se R-Studio ha trovato un oggetto Disk1 su Disk2.arc, ciò non indica necessariamente che questo sia il primo disco nel RAID.


Trovare il record di avvio principale
Per prima cosa dobbiamo trovare l'MBR per determinare un offset RAID.
1. Uno dopo l'altro, apri tutti i file di immagine dell'albero nell'editor di testo/esadecimale.
2. Non abilitare la scrittura per prevenire il danneggiamento accidentale dei dati nei dischi in fase di modifica!
3. Annotare la signature del disco di Windows per ciascun oggetto per riconoscere in seguito quale finestra dell'editor appartiene a quale oggetto.
4. Cerca il blocco iniziale MBR. Nella finestra di dialogo Cerca, inserisci 33 C0 8E D0 BC (questo è un blocco iniziale MBR standard, ma in alcuni casi potrebbe essere diverso) nel campo HEX ; quindi seleziona Dalla posizione iniziale e inserisci 0 in Cerca all'offset.
5. Fare clic su OK per avviare la ricerca.

Finestra di dialogo Dati nella ricerca per iniziare la ricerca del Master Boot Record (MBR)

Risultati di ricerca:

Clicca sull'immagine per ingrandire
Disk1.arc aperto nell'editor di testo/esadecimale


Clicca sull'immagine per ingrandire
Disk2.arc aperto nell'editor di testo/esadecimale. Modello MBR trovato.


Clicca sull'immagine per ingrandire
Disk3.arc aperto nell'editor di testo/esadecimale. Modello MBR trovato.

Il risultato è che l'editor di testo/esadecimale trova questo modello all'indirizzo 00 su Disk2.arc e Disk3.arc; Disk1.arc mostra solo zeri. Ciò significa che l'offset è 0 e Disk1.arc non può essere il primo disco nel RAID.

Nel frattempo, l'editor ha riconosciuto correttamente quei pattern su Disk2 e Disk3 come codice del loader bootstrap principale. Nel nostro caso, due dischi hanno gli stessi dati MBR nello stesso posto.

Ora, come secondo passaggio, dobbiamo trovare il settore di avvio NTFS.
Dai un'occhiata al campo Settori prima della partizione nel riquadro Modello

Clicca sull'immagine per ingrandire
Riquadro dei modelli per Disk2 e Disk3

Nel nostro caso, il settore che precede la partizione è 16.065.

Se questo valore è maggiore di 63, dovremmo dividerlo per N -1, dove N è il numero di dischi (nel nostro caso, N = 3), che ci dà 8.032. Questa è una posizione approssimativa per iniziare a cercare il settore di avvio NTFS. Inizieremo la ricerca da questa posizione per evitare di trovare falsi settori di avvio NTFS che potrebbero essere residui delle precedenti partizioni NTFS.

Passa a quel settore nell'Editor e quindi cerca il modello del settore di avvio NTFS.

Clicca sull'immagine per ingrandire
Il campo di ricerca Settori nell'editor di testo/esadecimale


Nella finestra di dialogo Cerca, inserisci EB 52 90 4E 54 46 53 20 20 20 20 (il settore di avvio NTFS sempre inizia da questi byte) nel campo HEX, seleziona Dalla posizione corrente e inserisci 0 in Cerca con offset.

Clicca sull'immagine per ingrandire
Finestra di dialogo Dati nella ricerca per avviare la ricerca del settore di avvio NTFS

L'editor trova questo modello nel settore 8064 su Disk2 e Disk3.

Ora seleziona il pattern Boot sector NTFS nel pannello Modello.

Clicca sull'immagine per ingrandire
Disk2.arc aperto nell'editor di testo/esadecimale. È stato trovato il modello del settore di avvio NTFS. Lo stesso schema si trova su Disk3.arc.

Parametri che abbiamo trovato
Byte per settore: 512
Settori per cluster: 8
Numero di cluster logico per il file $MFT: 786432

Parametri precedentemente trovati:
Offset RAID: 0

Quindi dobbiamo trovare la MFT (tabella file master) sul disco:

1. Cercheremo di trovare un offset MFT approssimativo dall'inizio RAID:
Offset MFT dall'inizio della partizione in settori = Numero di cluster logico per il file $MFT * Settori per cluster+Offset RAID = 786.432*8+0 = 6.291.456
Se l'offset RAID non è 0, è necessario aggiungere l'offset al risultato dell'equazione precedente.
Inizio MFT sul primo disco = offset MFT dall'inizio della partizione in settori/(N-1) = 6.291.456/2 = 3.145.728

2. Inizieremo a cercare l'esatto inizio MFT in una posizione un paio di migliaia di settori in meno rispetto a questo valore. Diciamo, settore 3.140.000.
Nella finestra di dialogo Cerca, inserisci "FILE" nel campo ANSI, quindi seleziona Dalla posizione corrente e inserisci 0 in Cerca con offset.

Clicca sull'immagine per ingrandire
Questo modello si trova nel settore 10.241.463 su Disk2 e nel settore 3.153.792 su Disk3.


Clicca sull'immagine per ingrandire
Primo settore di record di file in Disk3. Inizio di un blocco dati.

Importante: la signature FILE termina con 0, il che significa che il numero di record del file non viene sovrascritto con una correzione. Se fosse terminato con * (FILE*), non saremmo stati in grado di procedere ulteriormente nella nostra ricerca e avremmo dovuto utilizzare un'altra tecnica.

Il modello $.M.F.T. (HEX 24 00 4D 00 46 00 54) mostra che questo è un inizio MFT corretto.
Poiché il settore 3.153.792 è più vicino al nostro valore previsto del settore 3.145.728 rispetto al settore 10.241.463, possiamo presumere che Disk3 sia il primo disco nel RAID.

Per procedere ulteriormente, dobbiamo tenere presente che un record di file in MFT occupa due settori e che i dati vengono scritti su un RAID 5 in successione, un blocco dati su un disco, quindi il blocco dati successivo sul disco successivo e un blocco di parità al terzo disco. Possiamo rappresentare un esempio di tale schema nella tabella seguente ...

Primo disco RAID	Secondo disco RAID	Terzo disco RAID
PD	1	2
3	PD	4
5	6	PD

... dove i numeri rappresentano l'ordine in cui i blocchi di dati vengono scritti sui rispettivi dischi e PD sta per il blocco di "parità di dati".
(Questa tabella rappresenta solo un esempio e l'ordine dei blocchi può essere arbitrario in un caso generale.)

Ciò significa che i numeri dei record di file in MFT aumenteranno di uno all'interno di un blocco di dati. Quindi l'MFT continuerà su un altro disco, dove i numeri dei record di file aumenteranno di uno all'interno del rispettivo blocco di dati, il terzo disco contenente il blocco di parità. E così via.

Quindi, per trovare la dimensione del blocco, esamineremo i numeri dei record di file su questo disco per scoprire il punto in cui non aumentano più di uno. Questo posto significherebbe la fine di quel blocco di dati. Quindi esamineremo altri dischi per trovare il disco e il punto su di esso in cui i numeri dei record di file nella MFT riprendono ad aumentare di uno. Quindi esamineremo un altro disco per trovare dove continua la MFT e così via.

Tale ricerca può essere effettuata scorrendo il testo nell'Editor di due settori.

Sul disco 3 il blocco di dati termina nel settore 3.153.919 con il numero di record del file 3F 00.


Clicca sull'immagine per ingrandire
Ultimo record di file in Disk3. La fine di un blocco di dati è nel settore successivo (3.153.919).

Osservando altri dischi, troviamo che questa MFT continua sul Disco 1 nel settore 3.153.792 con il numero di record di file 40 00 e termina in Sec: 3.153.919 con il numero di record di file 7F 00. E così via.


Clicca sull'immagine per ingrandire
Il record del file continua in Disk1. Inizio di un blocco dati.


Clicca sull'immagine per ingrandire
Ultimo record di file in Disk1. La fine del blocco dati è nel settore successivo (3.153.919)

I risultati finali sono rappresentati nella tabella seguente:

Disco1	Disco2	Disco3
Sec: 3.153.792 Rec: 40 00 Sec: 3.153.918 Rec: 7F 00 Sec: 3.153.919 Fine della striscia	Sec: 3.153.792 Nessun record Sec: 3.153.918 Nessun record Sec: 3.153.919: Fine della striscia	Sec: 3.153.792 Rec: 00 00 Sec: 3.153.918 Rec: 3F 00 Sec: 3.153.919 Fine della striscia
Sec: 3.153.920 Rec: nessun record Sec: 3.154.046 Rec: nessun record Sec: 3.154.047 End of stripe	Sec: 3.153.920 Rec: C0 00 Sec: Sec: 3.154.046 Rec: FF 00 Sec: 3.154.047 Fine della striscia	Sec: 3.153.920 Rec: 80 00 Sec: 3.154.046 Rec: BF 00 Sec: 3.154.047 Fine della striscia
Sec: 3.154.048 Rec: 00 01 Sec: 3.154.174 Rec: 3F 01 Sec: 3.154.175 Fine della striscia	Sec: 3.154.048 Rec: 40 01 Sec: Sec: 3.154.174 Rec: 7F 01 Sec: 3.154.175 Fine della striscia	Sec: 3.154.048 Rec: nessun record Sec: 3.154.174 Rec: nessun record Sec: 3.154.175 End of stripe

Nessun record significa che si tratta di un blocco di parità.


Clicca sull'immagine per ingrandire
Esempio di un settore di parità

Osservando la tabella sopra, possiamo trovare i seguenti parametri:

Ordine del disco:
Primo disco RAID Disk3.arc
Secondo disco RAID Disk1.arc
Terzo disco RAID Disk2.arc

Compensazione: 0
Dimensione striscia: 128 settori o 65.536 KB (64 KB)
Ordine stripe: (PD sta per Parity of Data)

Primo disco RAID	Secondo disco RAID	Terzo disco RAID
1	2	PD
3	PD	4
PD	5	6

Ora possiamo creare un tale RAID in R-Studio:

Clicca sull'immagine per ingrandire
Oggetto RAID 5 creato in R-Studio

R-Studio trova un file system valido sul RAID (partizione 1)

Fare doppio clic sulla partizione 1 per enumerarne i file:

Clicca sull'immagine per ingrandire
Struttura di cartelle/file trovata da R-Studio

R-Studio mostra una struttura di cartelle/file valida, che è cosa buona. Per verificare finalmente che abbiamo creato il RAID con i parametri corretti, puoi visualizzare in anteprima un file. Un file per l'anteprima deve essere più grande della dimensione del blocco * (Numero di dischi -1). 128 KB per il nostro caso.

Clicca sull'immagine per ingrandire
Anteprima del file Picture 236.jpg

Il file viene visualizzato in anteprima con successo. Abbiamo creato un RAID con parametri corretti.