通常硬件RAID默认的条带大小多数是64K，也就是数据在硬盘存储是以区块大 小64K的数据，分散在各个硬盘存储的。通常建议找一个文件，文件大小大 于64K，将该文件复制/恢复出来，然后测试是否能正常打开或运行 最佳建议：找一个跨越多个磁盘条带的RAR文件，因为本身RAR带有自校验功 能，如果文件数据不完整，解压时WinRAR就会有解压错误提示，最终也无 法正常解压
答案：NO
EnCase恢复硬件RAID阵列(以RAID5为例) • 在重建RAID5过程中，硬盘的先后排序很重要，关系到 RAID5的重组是否正确。因此，如果有3个硬盘，那么有6 个组合，如123,132,213,231,312,321，此外有些硬盘还 需测试校验块同步/异步，最终需要测试12种组合顺序 • 那么那种组合才是正确的呢？
RAID恢复后的数据正确性校验 • 找了一个102KB的.rar压缩文件，解压出现错误，提示已 损坏
RAID恢(CRC32)机制
RAID恢复后的数据正确性校验 • 如果发现大多数大于条带大小的文件均无法正常打开或运 行，那么很可能RAID5的磁盘顺序还不正确，需要重新调 整，继续测试 • 如果RAID5的磁盘数量远超过3个，那么RAID5的磁盘组 合次序的可能就急剧增加，很难在短时间内，测试出正确 的RAID5磁盘组合
硬件RAID • 外置硬件RAID 磁盘阵列柜(SCSI通道和光纤通道)、NAS等
硬件RAID的优劣 • 优势：
– 有独立的控制芯片，运行效率高，稳定性和可靠性强 – 不依赖于操作系统 – RAID的维护方便（如RAID重建)
• 劣势：硬件成本通常较高
软件RAID • 软件RAID的实现 硬盘的数据读取和存储等控制由操作系统来实现，在 Windows、Linux、Unix等操作系统均可实施RAID • 在Windows下做软件RAID，需先将磁盘转为动态磁盘
等级：B 股票代码：300188
RAID磁盘阵列重组技术
什么是磁盘冗余阵列? • RAID Redundant Array of Independent (或Inexpensive) Disk的首字母缩写；中文名称是独立（廉价）磁盘冗余阵 列
• RAID初衷是为了提供高端的存储功能和冗余数据安全
RAID类型 • 以RAID级别标准划分，可分为：
软件RAID的优劣 • 优势：软件RAID集成于操作系统，无需购买任何额外硬 件，只要拥有一定的硬盘数量即可，成本投入少 • 劣势：CPU占用率较高，运行效率较低
RAID在实战中的应用
准备工作
关机
硬盘编号
获取
阵列重建
验证/分析
– – – – – – – –
现场前准备工作 关机（建议最好正常关闭，避免RAID信息丢失或被破坏) 编号（贴标签） 获取 条带大小参数(Stripe Size) 重组 验证 分析
Raid Reconstructor • 有什么更好的方法可以自动检测RAID磁盘的组合顺序？
R-Studio
LSI的BIOS进入提示
HA -0 (Bus X Dev X) Type:PERC 4e/Di Standard FWx.xx SDRAM=xxx MB Battery Module is Present on Adapter
1 Logical Drive found on the Host Adapter Adapter BIOS Disabled, No Logical Drives handled by BIOS 0 Logical Drive(s) handled by BIOS
硬RAID重组—取证大师
软RAID重组-取证大师
Windows软RAID重建 • 软件RAID不需要知道RAID的条带大小(Stripe Size)，条 带大小的信息就存储在硬盘中
Linux LVM重建
无需格式化分区即可动态地拉伸或缩小分区的大小 可实现类似RAID0的条带读写方式
• 在入口处看到有文件列表，文件夹，有些文件可以看，是 否就表明RAID5已经正确恢复了呢？
阵列卡BIOS进入方式 • 通常在机器开机后，会出现RAID卡的BIOS进入快捷键提 示(多数阵列卡有快捷键提示)
– LSI (快捷键：CTRL+M) – Adaptec (快捷键：CTRL+A) – 3Ware (快捷键：ALT+3，无提示快捷键信息) • 注意：不同厂商的硬件阵列卡，进入BIOS的方式均有些差异，最为常见的阵 列卡有LSI、 Adaptec
如何知道硬件RAID的条带大小 • 利用取证软件重建RAID时，需要知道条带大小，才能正 确恢复阵列 • 如何知道硬件RAID的条带大小？ 步骤：
1. 了解RAID控制卡的品牌类型 (LSI、Adaptec、Promise等) 2. 了解如何进入RAID卡的BIOS (通常不同型号的卡有不同快捷键) 3. 进入RAID BIOS，查询现有RAID的条带大小
硬件RAID • 硬件RAID (硬盘数据的读取和存储都是由硬件控制器负责 ) • 由各种接口的RAID控制卡来实现，现在市场上有：
– RAID控制卡支持的硬盘类型：IDE、SATA、SCSI，SAS – RAID控制卡通常的接口有：PCI-X、PCI-E
• 越来越多的PC主板也集成了RAID控制芯片，可实现RAID 0、 RAID 1、RAID 5，提升计算机的可靠性和可用性 • 品牌服务器常用的RAID控制卡类型有：LSI、Adaptec • RAID控制卡通常拥有电池和内存模块
RAID 5 • 条带单位 Block，校验信息分布储存 • 储存能力 = N-1
A C XOR
B XOR E
XOR D F
条带
条带是什么？
RAID类型 • 以磁盘的控制方式划分，可分为：
– 硬件磁盘冗余阵列 (Hardware RAID) – 软件磁盘冗余阵列 (Software RAID)
RAID 0、RAID 1、RAID 2、RAID 3、RAID 4、RAID 5 、RAID 6
• 常用到有：RAID 0、 RAID 1、 RAID 10、 RAID 5
RAID 0
• 条带单位 block • 存储能力 = N
A D G
B E H
C F I
RAID 1
• 镜象磁盘 • 储存能力 = N/2
Press <Ctrl><M> to Enable BIOS
查看RAID的条带大小(Stripe Size) • LSI阵列卡的BIOS (DELL 等服务器多数采用LSI)
Adaptec BIOS的进入提示
查看RAID的条带大小(Stripe Size) • Adaptec BIOS
硬RAID重组-WinHex
A B C
A B C
RAID 4 • 条带单位 Block，独立校验盘 • 储存能力 = N-1
A C E
B D F
XOR XOR XOR
异或运算(XOR)
bit1 0
bit2 1
xor 结果 1
0
1 1
0
1 0
0
0 1
• XOR（异或运算）是数理逻辑的基本运算之一。XOR用来 进行RAID奇偶校验，可以通过预先计算的校验值来重建数 据的方法 • XOR 应用在 RAID 3、 RAID 4、 RAID 5、 RAID 6中