- PRODOTTIFREEWAREPER SCOPI COMMERCIALIPER USO PERSONALE E COMMERCIALEBackup e Ripristino della configurazione di sistema:Privacy e sicurezza del PC:
- ACQUISTARE ON LINE
- DISTRIBUZIONE
-
Trovare i parametri RAID
Quando abbiamo discusso del recupero dei dati da una configurazione RAID, abbiamo ipotizzato di conoscere già i parametri RAID. Tuttavia, vi saranno acluni casi in cui non i parametri del RAID da ricostruire non saranno noti. Come trovare i parametri richiesti? I fornitori dei sistemi RAID possono aiutarti con i loro valori predefiniti, ma a volte i parametri sono stati personalizzati e quindi la cosa si fa più complicata. R-Studio può aiutare anche in questo caso, possiamo utilizzare il rilevamento automatico dei parametri RAID o l'editor di testo/esadecimale integrato per analizzare i dati nei RAID allo scopo di trovarne i parametri. In questo articolo ti mostreremo come farlo, usando un semplice RAID 5 NTFS come esempio. L'articolo Rilevamento automatico dei parametri RAID spiega come trovare automaticamente i parametri RAID
Tale attività richiede almeno una conoscenza di base delle strutture di dati RAID e dei file system. Se necessario, troverai alcune informazioni utili su questi siti Web.
RAID: http://en.wikipedia.org/wiki/RAID
Nozioni di base su NTFS: http://en.wikipedia.org/wiki/NTFS
NTFS in dettaglio: http://technet.microsoft.com/en-us/library/cc758691.aspx
Quindi, proviamo a trovare i parametri richiesti per un semplice RAID 5 sconosciuto.
I parametri noti sono:
1. Numero di dischi: tre
2. File System: NTFS (creato da Windows XP/2003 e versioni successive utilizzando un Master Boot Record standard (blocco di avvio MBR)
3. Tipo: volume base
I suoi parametri sconosciuti che devono essere trovati sono:
1. Ordine del disco
2. Dimensione blocco 3
3. Ordine di blocco
4. Offset del disco
I dischi RAID sono rappresentati come file immagine creati in R-Studio:
Disk1.arc
Disk2.arc
Disk3.arc
Clicca sull'immagine per ingrandire
File immagine dei componenti RAID
Si noti che anche se R-Studio ha trovato un oggetto Disk1 su Disk2.arc, ciò non indica necessariamente che questo sia il primo disco nel RAID.
Trovare il record di avvio principale
Per prima cosa dobbiamo trovare l'MBR per determinare un offset RAID.
1. Uno dopo l'altro, apri tutti i file di immagine dell'albero nell'editor di testo/esadecimale.
2. Non abilitare la scrittura per prevenire il danneggiamento accidentale dei dati nei dischi in fase di modifica!
3. Annotare la signature del disco di Windows per ciascun oggetto per riconoscere in seguito quale finestra dell'editor appartiene a quale oggetto.
4. Cerca il blocco iniziale MBR. Nella finestra di dialogo Cerca, inserisci 33 C0 8E D0 BC (questo è un blocco iniziale MBR standard, ma in alcuni casi potrebbe essere diverso) nel campo HEX ; quindi seleziona Dalla posizione iniziale e inserisci 0 in Cerca all'offset.
5. Fare clic su OK per avviare la ricerca.
Finestra di dialogo Dati nella ricerca per iniziare la ricerca del Master Boot Record (MBR)
Risultati di ricerca:
Clicca sull'immagine per ingrandire
Disk1.arc aperto nell'editor di testo/esadecimale
Clicca sull'immagine per ingrandire
Disk2.arc aperto nell'editor di testo/esadecimale. Modello MBR trovato.
Clicca sull'immagine per ingrandire
Disk3.arc aperto nell'editor di testo/esadecimale. Modello MBR trovato.
Il risultato è che l'editor di testo/esadecimale trova questo modello all'indirizzo 00 su Disk2.arc e Disk3.arc; Disk1.arc mostra solo zeri. Ciò significa che l'offset è 0 e Disk1.arc non può essere il primo disco nel RAID.
Nel frattempo, l'editor ha riconosciuto correttamente quei pattern su Disk2 e Disk3 come codice del loader bootstrap principale. Nel nostro caso, due dischi hanno gli stessi dati MBR nello stesso posto.
Ora, come secondo passaggio, dobbiamo trovare il settore di avvio NTFS.
Dai un'occhiata al campo Settori prima della partizione nel riquadro Modello
Clicca sull'immagine per ingrandire
Riquadro dei modelli per Disk2 e Disk3
Nel nostro caso, il settore che precede la partizione è 16.065.
Se questo valore è maggiore di 63, dovremmo dividerlo per N -1, dove N è il numero di dischi (nel nostro caso, N = 3), che ci dà 8.032. Questa è una posizione approssimativa per iniziare a cercare il settore di avvio NTFS. Inizieremo la ricerca da questa posizione per evitare di trovare falsi settori di avvio NTFS che potrebbero essere residui delle precedenti partizioni NTFS.
Passa a quel settore nell'Editor e quindi cerca il modello del settore di avvio NTFS.
Clicca sull'immagine per ingrandire
Il campo di ricerca Settori nell'editor di testo/esadecimale
Nella finestra di dialogo Cerca, inserisci EB 52 90 4E 54 46 53 20 20 20 20 (il settore di avvio NTFS sempre inizia da questi byte) nel campo HEX, seleziona Dalla posizione corrente e inserisci 0 in Cerca con offset.
Clicca sull'immagine per ingrandire
Finestra di dialogo Dati nella ricerca per avviare la ricerca del settore di avvio NTFS
L'editor trova questo modello nel settore 8064 su Disk2 e Disk3.
Ora seleziona il pattern Boot sector NTFS nel pannello Modello.
Clicca sull'immagine per ingrandire
Disk2.arc aperto nell'editor di testo/esadecimale. È stato trovato il modello del settore di avvio NTFS. Lo stesso schema si trova su Disk3.arc.
Parametri che abbiamo trovato
Byte per settore: 512
Settori per cluster: 8
Numero di cluster logico per il file $MFT: 786432
Parametri precedentemente trovati:
Offset RAID: 0
Quindi dobbiamo trovare la MFT (tabella file master) sul disco:
1. Cercheremo di trovare un offset MFT approssimativo dall'inizio RAID:
Offset MFT dall'inizio della partizione in settori = Numero di cluster logico per il file $MFT * Settori per cluster+Offset RAID = 786.432*8+0 = 6.291.456
Se l'offset RAID non è 0, è necessario aggiungere l'offset al risultato dell'equazione precedente.
Inizio MFT sul primo disco = offset MFT dall'inizio della partizione in settori/(N-1) = 6.291.456/2 = 3.145.728
2. Inizieremo a cercare l'esatto inizio MFT in una posizione un paio di migliaia di settori in meno rispetto a questo valore. Diciamo, settore 3.140.000.
Nella finestra di dialogo Cerca, inserisci "FILE" nel campo ANSI, quindi seleziona Dalla posizione corrente e inserisci 0 in Cerca con offset.
Clicca sull'immagine per ingrandire
Questo modello si trova nel settore 10.241.463 su Disk2 e nel settore 3.153.792 su Disk3.
Clicca sull'immagine per ingrandire
Primo settore di record di file in Disk3. Inizio di un blocco dati.
Importante: la signature FILE termina con 0, il che significa che il numero di record del file non viene sovrascritto con una correzione. Se fosse terminato con * (FILE*), non saremmo stati in grado di procedere ulteriormente nella nostra ricerca e avremmo dovuto utilizzare un'altra tecnica.
Il modello $.M.F.T. (HEX 24 00 4D 00 46 00 54) mostra che questo è un inizio MFT corretto.
Poiché il settore 3.153.792 è più vicino al nostro valore previsto del settore 3.145.728 rispetto al settore 10.241.463, possiamo presumere che Disk3 sia il primo disco nel RAID.
Per procedere ulteriormente, dobbiamo tenere presente che un record di file in MFT occupa due settori e che i dati vengono scritti su un RAID 5 in successione, un blocco dati su un disco, quindi il blocco dati successivo sul disco successivo e un blocco di parità al terzo disco. Possiamo rappresentare un esempio di tale schema nella tabella seguente ...
| Primo disco RAID | Secondo disco RAID | Terzo disco RAID |
| PD | 1 | 2 |
| 3 | PD | 4 |
| 5 | 6 | PD |
(Questa tabella rappresenta solo un esempio e l'ordine dei blocchi può essere arbitrario in un caso generale.)
Ciò significa che i numeri dei record di file in MFT aumenteranno di uno all'interno di un blocco di dati. Quindi l'MFT continuerà su un altro disco, dove i numeri dei record di file aumenteranno di uno all'interno del rispettivo blocco di dati, il terzo disco contenente il blocco di parità. E così via.
Quindi, per trovare la dimensione del blocco, esamineremo i numeri dei record di file su questo disco per scoprire il punto in cui non aumentano più di uno. Questo posto significherebbe la fine di quel blocco di dati. Quindi esamineremo altri dischi per trovare il disco e il punto su di esso in cui i numeri dei record di file nella MFT riprendono ad aumentare di uno. Quindi esamineremo un altro disco per trovare dove continua la MFT e così via.
Tale ricerca può essere effettuata scorrendo il testo nell'Editor di due settori.
Sul disco 3 il blocco di dati termina nel settore 3.153.919 con il numero di record del file 3F 00.
Clicca sull'immagine per ingrandire
Ultimo record di file in Disk3. La fine di un blocco di dati è nel settore successivo (3.153.919).
Osservando altri dischi, troviamo che questa MFT continua sul Disco 1 nel settore 3.153.792 con il numero di record di file 40 00 e termina in Sec: 3.153.919 con il numero di record di file 7F 00. E così via.
Clicca sull'immagine per ingrandire
Il record del file continua in Disk1. Inizio di un blocco dati.
Clicca sull'immagine per ingrandire
Ultimo record di file in Disk1. La fine del blocco dati è nel settore successivo (3.153.919)
I risultati finali sono rappresentati nella tabella seguente:
| Disco1 | Disco2 | Disco3 |
|
Sec: 3.153.792 Rec: 40 00 Sec: 3.153.918 Rec: 7F 00 Sec: 3.153.919 Fine della striscia |
Sec: 3.153.792 Nessun record Sec: 3.153.918 Nessun record Sec: 3.153.919: Fine della striscia |
Sec: 3.153.792 Rec: 00 00 Sec: 3.153.918 Rec: 3F 00 Sec: 3.153.919 Fine della striscia |
|
Sec: 3.153.920 Rec: nessun record Sec: 3.154.046 Rec: nessun record Sec: 3.154.047 End of stripe |
Sec: 3.153.920 Rec: C0 00 Sec: Sec: 3.154.046 Rec: FF 00 Sec: 3.154.047 Fine della striscia |
Sec: 3.153.920 Rec: 80 00 Sec: 3.154.046 Rec: BF 00 Sec: 3.154.047 Fine della striscia |
|
Sec: 3.154.048 Rec: 00 01 Sec: 3.154.174 Rec: 3F 01 Sec: 3.154.175 Fine della striscia |
Sec: 3.154.048 Rec: 40 01 Sec: Sec: 3.154.174 Rec: 7F 01 Sec: 3.154.175 Fine della striscia |
Sec: 3.154.048 Rec: nessun record Sec: 3.154.174 Rec: nessun record Sec: 3.154.175 End of stripe |
Clicca sull'immagine per ingrandire
Esempio di un settore di parità
Osservando la tabella sopra, possiamo trovare i seguenti parametri:
Ordine del disco:
Primo disco RAID Disk3.arc
Secondo disco RAID Disk1.arc
Terzo disco RAID Disk2.arc
Compensazione: 0
Dimensione striscia: 128 settori o 65.536 KB (64 KB)
Ordine stripe: (PD sta per Parity of Data)
| Primo disco RAID | Secondo disco RAID | Terzo disco RAID |
| 1 | 2 | PD |
| 3 | PD | 4 |
| PD | 5 | 6 |
Ora possiamo creare un tale RAID in R-Studio:
Clicca sull'immagine per ingrandire
Oggetto RAID 5 creato in R-Studio
R-Studio trova un file system valido sul RAID (partizione 1)
Fare doppio clic sulla partizione 1 per enumerarne i file:
Clicca sull'immagine per ingrandire
Struttura di cartelle/file trovata da R-Studio
R-Studio mostra una struttura di cartelle/file valida, che è cosa buona. Per verificare finalmente che abbiamo creato il RAID con i parametri corretti, puoi visualizzare in anteprima un file. Un file per l'anteprima deve essere più grande della dimensione del blocco * (Numero di dischi -1). 128 KB per il nostro caso.
Clicca sull'immagine per ingrandire
Anteprima del file Picture 236.jpg
Il file viene visualizzato in anteprima con successo. Abbiamo creato un RAID con parametri corretti.
- Guida al recupero dati
- Software di recupero file. Perché R-Studio?
- R-Studio per le attività forensi e di recupero dati
- R-STUDIO Review on TopTenReviews
- Specifiche di recupero file per SSD e altri dispositivi che supportano il comando TRIM/UNMAP
- Come recuperare i dati dai dispositivi NVMe
- Prevedere il successo dei casi di recupero dati più comuni
- Recupero dei dati sovrascritti
- Emergency File Recovery Using R-Studio Emergency
- Ripristino RAID: Presentazione
- R-Studio: Recupero dati da computer non funzionante
- Recupero file da un computer che non si avvia
- Clona i dischi prima del ripristino dei file
- Recupero video HD da schede SD
- Recupero file da un computer Mac non avviabile
- Il modo migliore per recuperare file da un disco di sistema Mac
- Recupero dati da un disco Linux crittografato dopo un arresto anomalo del sistema
- Recupero dati da immagini disco Apple (file .DMG)
- Recupero file dopo aver reinstallato Windows
- R-Studio: Recupero Dati su Rete
- Come utilizzare il pacchetto R-Studio Corporate
- Recupero dati da disco NTFS formattato
- Recupero dati da un disco ReFS
- Recupero dati da un disco exFAT/FAT riformattato
- Recupero dati da un disco HFS o HFS+ cancellato
- Recupero dati da un disco APFS cancellato
- Recupero dati da un disco Ext2/3/4FS riformattato
- Recupero dati da un disco XFS
- Recupero dati da un NAS semplice
- Come collegare i volumi RAID virtuali e LVM/LDM al sistema operativo
- Recupero file dopo una formattazione rapida
- Recupero dati dopo l'arresto anomalo di Partition Manager
- Recupero file vs. riparazione file
- Data Recovery from Virtual Machines
- Recupero dati di emergenza su rete
- Recupero dati remoto su Internet
- Creazione di un tipo di file noto personalizzato per R-Studio
- Trovare i parametri RAID
- Recovering Partitions on a Damaged Disk
- NAT e Firewall Traversal per il Recupero Dati Remoto
- Recupero dati da un disco esterno con un file system danneggiato
- Nozioni di base sul recupero dei file: come funziona il recupero dei dati
- Parametri predefiniti dei set di stripe software (RAID 0) in Mac OS X
- Recupero dati da file di disco rigido virtuale (VHD).
- Recupero dati da vari formati di contenitori di file e dischi crittografati
- Rilevamento automatico dei parametri RAID
- Tecnologia di recupero dati IntelligentScan
- Imaging multi-pass in R-Studio
- Imaging di runtime in R-Studio
- Imaging lineare vs imaging runtime vs imaging multi-pass
- USB Stabilizer Tech per dispositivi USB instabili
- Lavoro congiunto di hardware R-Studio e PC-3000 UDMA
- Lavoro congiunto di R-Studio e HDDSuperClone
- R-Studio T80+ - Una soluzione professionale di recupero dati e analisi forense per piccole imprese e privati a solo 1 USD al giorno.
- Articoli Backup
- Trasferimento della licenza di R-Drive Image Standalone e Corporate
- Software di backup. Backup con fiducia
- R-Drive Image come potente gestore di partizioni gratuito
- Ripristino del computer e ripristino del sistema
- Disk Cloning and Mass System Deployment
- Accesso a singoli file o cartelle su un'immagine disco di backup
- Creazione di un piano di backup dei dati coerente ed efficiente in termini di spazio per un server Small Business
- How to Move the Already Installed Windows from an Old HDD to a New SSD Device and Create a Hybrid Data Storage System
- Come spostare una copia di Windows su un disco più grande
- Come spostare un disco di sistema crittografato con BitLocker su un nuovo dispositivo di archiviazione
- Come eseguire il backup e il ripristino dei dischi su computer Linux e Mac utilizzando R-Drive Image
- Articoli Ripristino
- Recupera i file eliminati
- Recupero file gratuito da SD e schede di memoria
- Recupero video HD gratuito da schede SD
- Recupero di file da un disco esterno con file system danneggiato, cancellato, formattato o non supportato
- R-Undelete: recupero file da un computer non funzionante
- Recupero file gratuito da una scheda di memoria di un telefono Android
- Recupera foto e video gratuitamente
- Easy file recovery in three steps
Rating: 4.8 / 5
R-TT may not be the easiest or most user-friendly solution, but the algorithm used for the renaming saved me THOUSAND of hours of opening ...
Bought it and 100% recommend it for anyone with a similar issue.
I was reluctant as it seemed pricey compared to other programs, but damn worth every penny. It managed to even find files I thought were wiped from existence.
Kudos to r-tools, thank you!
I`m an IT professional who has worked from home for over a decade. Early on in my career, I configured an HP ProLiant Server (Raid 1+0) as a workstation that I would remote into from my laptop. As technology evolved, I began to use it only for email and as a config file repository.
A short while ago, one of the drives degraded, but the HP ProLiant Server (Raid 1+0) still functioned fine on the remaining drive. I was complacent and didn`t replace the ...