这个IBM服务器数据恢复案例是IBM服务器中由4块146GB的SCSI硬盘组成的RAID-5EE,RAID-5EE属于IBM公司开发的一种私有RAID类型,应用并不是太多,通过这个实际案例来讲解RAID-5EE的数据恢复方法。
首先把每块物理硬盘做成镜像文件,并命名从0.dsk到3.dsk,我们称它们为硬盘0到硬盘3,但这些编号是任意编排的,并不一定是RAID的盘序。
为了节省篇幅,本案例在分析时以讲解思路为主,只把关键位置做一下截图。
1.分析RAID开始扇区
用WinHex同时打开4个镜像文件,分析它们的第一个扇区,其中硬盘0的第一个扇区为MBR,如图所示。
硬盘0的MBR中分区表内只有一个表项,类型为07,分区开始于63扇区,大小是573463548扇区,因为4块物理盘组成的RAID-5EE实际只能用到2块盘的容量。
再看硬盘1的第一个扇区,结果发现全都是0,如图所示。
硬盘2的第一个扇区也是一个MBR,如图所示。最后查看硬盘3的第一个扇区,也全部是0,这里就不贴图了。
4块硬盘的第一个扇区,2个是MBR,2个是空扇区,如何理解呢?其实也很好理解,2个MBR一个是校验信息,另一个是真实的MBR,而2个空扇区,一个是热备块,另一个则作为MBR之后的保留扇区,这同时也能证明该RAID的条带大小是小于64扇区的。
另外,MBR扇区在物理盘的头部,而且是有效的MBR,所以该RAID开始扇区就是物理盘的0号扇区。
2.分析RAID结构(1)分析条带大小。
RAID结构的分析首先还是从条带大小入手,对于RAID-5EE也是这样。
条带大小有很多分析方法,在RAID-5EE中可以利用热备块进行分析,如果RAID-5EE没有物理盘离线过,那么热备块就不会被写入数据,每个热备块中就全部为00,通过热备块就很容易判断出条带大小。
不过如果热备块已经被写入数据,或者RAID-5EE中的物理盘不是全新的硬盘,原来写过数据,那么热备块即使没被使用,其中也可能是非零数据。
本案例的热备块内恰好都是00,分析发现在物理盘中每隔48个扇区就有16个空扇区,所以很容易地就从热备块中判断出条带大小是16个扇区。
(2)分析盘序和校验方向。
接下来判断盘序以及校验方向,这从$MFT文件入手比较方便,通过搜索在硬盘3的31号扇区发现了DBR,这就可以从DBR的BPB参数算出SMFT在物理盘中的扇区号,然后将4块物理盘同时跳转到一个都有文件记录的扇区开始分析。
因这台服务器使用Windows2000系统,所以SMFT文件的文件记录中没有记录号,不过这也没关系,虽然增加了一些麻烦,但也并不影响分析。
该RAID虽然是4块物理盘组成的,但排除热备块和校验块,其实一个条带组中只有两个数据块,所以在文件记录区域,校验扇区的前4个字节经过两个相同的46494C45异或运算后结果一定是4个00,从这一点就能很容易判断出校验扇区。再加上热备块中都是0,也给分析带来了很多方便。
我们选定了97号扇区作为分析的起始扇区,其中硬盘0的97号扇区内容如图所示。
硬盘0的97号扇区是完好的文件记录,说明它是数据,不是校验信息,也不是热备块。
硬盘1的97号扇区内容如图所示。
硬盘1的97号扇区同样是完好的文件记录,说明它也是数据,不是校验信息,也不是热备块。
硬盘2的97号扇区内容如图所示。
硬盘2的97号扇区显然是校验信息,因为它的前4个字节已经被异或为00。
硬盘3的97号扇区内容如图所示。
硬盘3的97号扇区全都是0,其后的14个扇区也是空扇区,所以这是一个热备块。
按照这个思路,以16个扇区为一个条带组,分析并记录下来每一个条带组中的数据结构,在分析了多个条带组之后,记录下如图所示的信息。
图3-521中P表示校验块,HS表示热备块,D表示数据块,因为文件记录中没有记录号,所以没有办法借鉴记录号进行分析。
从图3-521中很容易判断出盘序,即硬盘0为0号盘、硬盘1为1号盘、硬盘2为2号盘、硬盘3为3号盘,也能判断校验方向是右结构,但数据的循环方向是异步还是同步无法判断,还必须从其他方面再想办法进行分析。
(3)分析数据的循环方向。
还是看图的结构,我们选定从129号扇区所在条带组的3号盘的D1数据块入手,如果数据块D1的最后一个扇区的数据能跟数据块D2的第一个扇区衔接,那么就是异步结构;如果数据块D1的最后一个扇区的数据能跟数据块D3的第一个扇区衔接,那么就是同步结构。
首先找到数据块D1的最后一个扇区,即硬盘3的143号扇区,发现它是一个文件记录的第一个扇区,其内容如图所示。
在图的文件记录中,“更新序列号”这个参数的值为0600,这个值会出现在文件记录第一个扇区的最后两个字节和第二个扇区的最后两个字节,目前这个扇区已经是该条带中最后一个扇区,所以该文件记录的第二个扇区只能存放在下一个条带组相应物理盘的第一个扇区,这个扇区的最后两个字节一定是0600,下面数据块D2的第一个扇区和数据块D3的第一个扇区,看它们谁的最后两个字节是0600。
数据块D3跟数据块D1在同一物理盘上,我们就先看数据块D3的第一个扇区,即硬盘3的144号扇区,其内容如图所示。
数据块D3的第一个扇区最后两个字节是0400,显然不是数据块D1最后一个扇区所在文件记录的后半部分。
再找到数据块D2的第一个扇区,即硬盘0的144号扇区,其内容如图所示。
数据块D2的第一个扇区最后两个字节是0600,所以是数据块D1最后一个扇区所在文件记录的后半部分,这就证明数据块D1的最后一个扇区的数据能跟数据块D2的第一个扇区衔接,该RAID数据循环方向确定为异步结构,所以这个RAID-5EE为右异步结构。
到些该IBM服务器的RAID结构分析完成,虚拟RAID创建成功后就可以看到分区了。
本文系转载,如有侵犯版权问题,请通知。我们立即删除。
转载请注明:成都千喜数据恢复中心 » IBM服务数据恢复RAID-5EE 实例