$BOOT文件由DBR和NTLDR区域构成,DBR中的BPB参数对分析RAID结构很有帮助,另外,$BOOT文件有时候还能够帮助我们判断条带大小以及RAID成员盘的盘序。
一、通过BPB参数定位$MFT文件
在分析NTFS文件系统的RAID结构时,经常会从SMFT文件入手,所以能够准确、 快速地找到$MFT文件在物理盘中的位置是分析的前提。
举例来说,一个由两块成员盘组成的RAID-0,这两块成员盘已经做成文件镜像,分别 命名为l.img、2.img,将它们都用WinHex打开,在l.img的63号扇区找到了一个NTFS 的DBR,如图所示。
用WinHex模板査看一下这个DBR的BPB参数,如图所示。
从上图的BPB参数中能够知道该文件系统每簇扇区数为8, $MFT文件的开始簇 号为786432,所以吋以计算出$MFT文件在该逻辑卷中的扇区号为786432*8=6291456,而该RAID是由两块物理盘组成的,所以$MFT文件在物理盘中的开始扇区大致为 (6291456/2) +63=3145791。跳转到l.img的3145791号扇区,果真是$MFT文件的开始, 如下图所示。
2.通过$BOOT文件判断条带大小及盘序
—个由3块成员盘组成的RAID-5,这3块成员盘已经做成文件镜像,分别命名为l.img、 2.img、3.img,将它们都用WinHex打开,通过分析发现1.img的31号扇区是NTFS文件 系统的DBR,如下图所示。
NTFS文件系统的DBR后面应该紧跟着NTLDR区域,但l.img的32号扇区却不是 NTLDR区域,如下图所示。
l.img的32号扇区不是NTLDR区域的内容,说明其32号扇区没有跟31号扇区的DBR 衔接,所以32号扇区与31号扇区不是一个条带内的数据,通过这一点基本可以判断该 RAID-5的条带大小为32号扇区。
继续分析发现2.img的32号扇区是NTLDR区域的内容,如下图所示。
这说明2.img的32号扇区的内容是衔接在l.img的31号扇区之后的,所以可以推断出 l.img和2.img在盘序上的衔接性。
本文系转载,如有侵犯版权问题,请通知。我们立即删除。
转载请注明:成都千喜数据恢复中心 » $BOOT文件在RAID数据恢复分析中的作用