WINHEXRAID纯手工恢复加超详细解

WINHEXRAID修复RAID0分析关于RAID,大家可能有些陌生。在个人电脑上，RAID用的不多，但是windowsXP支持跨区卷和带区卷。Windowsserver2003支持跨区卷，带区卷，RAID-5等。对于RAID0的分析主要在于重组磁盘，重组磁盘就需要确定盘序，块大小，判断磁盘加入阵列的起始位置等。确定了上述参数后就可以重组阵列达到恢复数据的目的了。但是在具体的操作中，要如何确定上述参数呢？这个就要对文彳系统有深入的了解，特别是NTFS文件系统，因为RAID基本都是采用NTFS文件系统，很少有采用FAT32文件系统的。看了马林老师的《数据重现》之后发现，马林老师给出的实验素材真是精心设计过的了。如果自己做一个RAID就会出现很多和马老师的素材不一样的结果。这里我就从如何组建一个RAID0开始然后逐步分析。马老师给出的方法具有通用性，但是有些时候会出现找不到符合马老师给出的素材的情况，那么就不能用马老师讲的方法了。我们就只能在对文件系统有深入的理解的前提下，分析RAID了。这就要求我们对文件系统有深入的理解，特别是NTFS文件系统。好的，下面我就从组建一个RAID0开始，分析一下RAID0。希望能给大家带来一些启不'°这个是我在windowsXP下虚拟出的三块磁盘，每块磁盘的大小都是200M三块磁盘做了一个RAID0,采用NTFS格式化。上图显示的三块磁盘的0号扇区，这个扇区的主要作用是一个DOS分区结构。和基本磁盘的MBR有点类似。这个扇区也有一个分区表，但是只占用了一个分区表项。。大家看下图

分区类型是0x42起始于63号扇区，大小是0x9A200600也就是401562个扇区。而磁盘的总扇区数是409600个扇区。因为在windows系统中采用逻辑磁盘管理也就是LDM。LDM支持JBOD,RAID0,RAID1和RAID5。要组成这些阵列类型，我们需要把我们的磁盘转换成动态磁盘，而LDM就是管理动态磁盘的。动态磁盘有两个重要的部分，一个是LDM分区区域，它占用磁盘的绝大部分，另一个就是动态磁盘的最后1MB,分配给LDM数据库。LDM数据库包含分区区域的分配情况。所以在把基本磁盘转换成动态磁盘时需要在磁盘最后有一定的剩余空间。我们上图显示的类似基本磁盘的分区表部分我们管它叫软分区，分区类型就是0x42而基本磁盘的分区我们就叫硬分区吧。好了，现在我们对组成RAID的磁盘有了一个基本的了解了，我们来总结一下成员盘都是动态磁盘，windows操作系统有个叫LDM的管理它们。LDM会在每个成员盘的最后1MB建立一个数据库，记录一些动态盘的信息，而且这个数据库还有一个作用，当我们的成员盘被卸载了加载到其他机器上去之后，如果那台机器采用的和原来的机器一样的RAID那么我们的成员盘又可以组建成原来的RAID了,而数据不会丢失，这就方便了移植。LDM会在动态磁盘的0号扇区建立一个如上图所示的软分区表。LDM数据库中包含四个区域，一个叫做LDM私有头，一个内容表区域，一个数据库记录区和一个事物处理日志区。软分区描述的扇区总数并没有包括最后那1MB的LDM数据库。好的，我们先看看是不是磁盘的最后1MB是数据库，看看数据库都写了些什么。好的，我们先看看是不是磁盘的最后1MB是数据库，看看数据库都写了些什么。1MB就是2048个扇区，我们的磁盘有409600个扇区减去2048。那么我们的数据库的起始扇区就是407553号扇区了。Offset01234567e9ABCDEFOC7OO1E0330000000000OQ0000000000ooOQ00000C7ODLF00000000000000000oo000000000000叩0C700200Bl4F43424C4F434B0(]DDOBBA000000口口TOCBLOCK.DC7DD21D000000-lhDD00DDDDDDDD00DODODDQQiDIDOC700220□DDDDDDD636F6E666967000000QDQ000--,.config0C7002300000000000110000000000oo05eg0006E..时01000000006C6F67OD00000000[)□□0leg扇区7g3/409600偏移地址0700200^=84选块：Offset01234567B9ABcDEFDC7DD1ED00000000DDDDDDDODO000000oo00DO01010C7001FQ0000000000000D0D00ODOD00□00000000C700200544F43424C4F434B0000DBBAco0000叫TOCBLOCK...5....CC70021000DDDDOSDD0000000000000000000000=84iffia：a硬盘20C7002200C7002300000006F6E11oo006c000i00006000000000066006F6300DO690067000005C9000067000000000000□000000001oooo-..config..--tOffsetD123456OffsetD1234567B9ABCDEFDC7001E0000000DDDDDODD0D00000000□D0000000C7OD1F000000000000000000000OO00DD□□□□□□DC700200544F4.3424C4F434B000000BA000000000C700210"00DDDD05000000000000000000000000OC70022000000000636FCE6h6967(ID0000000000OC7OD2300000000000LI00000000000005C90006或7口口空q0001DDDD0000ECGF670000QO0000000Q底4D7553/40Q6001偏程地址C700200TOCBLOCK...5...centig.... tleglog\JbEJ07553J409500晅移地址:C70D2T0看到了吗，真的是有东西签名标志544F434c4F434B具体的数据库分析我们就不做了，太费时了，如果大家有兴趣可以加我共同讨论。这里我只是想让大家知道在RAID0中的各成员盘的具体结构是怎样的，写入的各部分数据有什么作用。我们回到0号扇区，找到那个软分区表，分区表显示分区的起始扇区是63号扇区，那么也就是说磁盘加入阵列的起始扇区是63号扇区。通过搜索发现前面的63个扇区除了0号扇区有一个软分区表6号扇区有一些东西其他扇区都是零。好的，我们转到63号扇区看看。1确定盘序:

4EB529D4E54eRiNTFS□9AR0DuLlnnOOOOZEOD00007E1000007E2D00007E3000007E4000007E50000D000200©trrrffe-az63/409600J□0200000D800000600□0E00O030aoaoa16□D000DDBFA004SFB0a00ao33B8530D000D00CO4EB529D4E54eRiNTFS□9AR0DuLlnnOOOOZEOD00007E1000007E2D00007E3000007E4000007E50000D000200©trrrffe-az63/409600J□0200000D800000600□0E00O030aoaoa16□D000DDBFA004SFB0a00ao33B8530D000D00CO00200000□0008E0D203FFFFFIFDOEE2D口口5F2F54BCCO20FF1209AE003300□□00口口CO7cDB023F0aoa89FBC6DI0DDO00AEBB06□□000aoocaco0E000D000DF2□700偏移地址.7E20 .y/ ♦ TeAI®Ad---I0e..,..IA3I1E...二0侬.Offset000D7E0D00007E100DDO7E2D00007E3000007E4000007E50012@LE2IEC9F3OBCO

EE

Fl

50

3EFE70BAFEB93B7796S35B5F&9E74014567 39AECDE772Z034c11F556aiD76863429FDE08579EE554C65AEFF537CAE3F61.0IEBB9EFB5847EE00E7ICA6E363267FF466E7B22A55FO919694950EA5C363IF2B1.9E5E5154c5B66043Dfi6C2C3DD□5E97742C327045mFD0C2E,3.Ewlli..I6A.AA口一曰白"刈6》『白"亡百’Ailp.hl?!..Fl.X?.11由百叫门+1.5n.yl.BTalalILlayP-kt3liIbGc*ia=wl7BODOffset0123456789ABCDEF闻0D0D7ED01S__DFD4F94B39ceF7FADE39172CFLA47E.B(5uK8iE-ijtjg.,nH{Bl00007E1027Fl76077B7DBCBBE9FACAE66E51F45400007E20EC59BC03177CBE12E97C5762D2C7D72DiYW..|5i.e|WbdQx-□0007E3D0BE2007D5789BlFC610ED300744016BBUl)WI±iilie.0D007E4DE46EClEAA2C3E62D2F49S3AF922EFDACanAeCAae-/IS—□0007E50BCIE5Fca02355DD6F2713EF5ASAFao7A!i._A,5]O6q>d；-.z93BAED0E53273BC656DE3443D96170OEI0P.S'网闻艇633口96007偏移地址7E30=139选块：偏移地址:*Sfi3扇区E"4O弼0。=1选陕：看到了吗，硬盘1的63号扇区是DBR而其他两块盘的这样我们就能知道硬盘1就是这个RAID0其他方法确认了，而且我们在这里知道了硬盘3肯定就是相邻的了。我们可以通过寻找硬盘小。这个方法不错。但是很遗憾，我做的这个的第一块盘了。1是RAID063号扇区不是DBR而是数据，至于剩下的两块盘的盘序就通过的第一块盘，那么硬盘2和硬盘2和硬盘3的MFT来确认他们的盘序和块大RAID居然找不到合适的MFT。也就是说通法了。看来我们的自己寻找解决的方法了。因为此RAID采用的是NTFS文件系统，那么我们能不能根据对NTFS文件系统的特点，找找看能不能通过其他的一些特征来确定盘序和块大小呢？我们通过分析DBR得出：1,2,3,4,1,2,3,4,$FT起始簇号401408这里就是401408号扇区了；$MFTMIRR起始簇号602111这里也就是602111号扇区了;我们就想了，硬盘1已经确定是的后面。那么系统就是先向磁盘写入RAID0的第一块盘了，$MFTMIRR我们就想了，硬盘1已经确定是的后面。那么系统就是先向磁盘写入RAID0的第一块盘了，$MFTMIRR的起始扇区在$MFT$MFTMIRR然后再写入$MFT了。好的，我们就根据以MFT为线索，我们把每块成员盘的MFT搜索出来，当然就搜索前面几个MFT项就行了。这里我就直接给出我搜索出的结果了硬盘1在20768号扇区搜到了第一个MFT项，这块硬盘一共有3个MFT项分别是1号2号3号MFT项。EJ园区.UEF**t01234567B9AEcDEF06207FFO000000000000□□□□0000□iQ□000ao03no-aezDsooo：目649犯4530DO03口。geDF2000000D000DFILED...1B062DB0100100010030DO01DOSBDi00DO0004000D0620^020口口000000□□00□iQOC□400DOQO01口口aoonaszoBoia0300000000DOoo口。10DO00DO&a0D0QIOCT062DB040000010D000DOoaDD4日DO00DOia0D000D062imS£l_耳fl33日日AD74CA□l5033BUADCB74PA01P3-£t.£.P3,-EtL.M区刖。距后，4的&0口同国北安。2回皿凯NU=1吧*2:，叵区1r*a大小:Offset0123455789A下cDEF□62Q7FFQ000000000000000000ao00口Dao000000□62DB00Qao00aoDOaaDOoaDOaoDOoaDO00DD0QDD0g20B0lH00000000no00DO00ao00DO00。口0Q0000QiQEQD口。口00oa00go0000oo口。00000000口口000Q1000G2DB030ao0000DOaoDOoaD©aoDOoaDO00DDoa0D0g2D60400000QODOao00DO0nao00DO0000OD00口□Q兔0日Q500000QQw口口00QQ叩0000Q0叩QQ00叩00府移盅址:G2D7FFD=0强快:N3大小:-C.Xofes9t0123-456709ABCDEF□62D7FF0FFFFFFFFFFFFFFFFFFFFFFFFEFFFFFFFO62DBOO0PFFFFFF~nFFFFFFFFFFFFFFFFFFFFFFFF06206010FFFFFFFFFFFFFFFFFFFFFFFfFFFFFFFFQ6ZDS020FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF062DB03DFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFF06208040FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF□620B05QIFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFF扇区割口漏€门的前口塔塔希让62O002C*观生3vvyyyyymc*yyvvvvyyyyy/yyyyyyyyyyyyyyyyyyyvvyyyy■733I号Mier蚌也白口旧后nfi酬版本号:2.0yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy=2fi5iSM岫rnnm：臣向亦中心大小：硬盘2133823号扇区搜到了第一个MFT项，这块硬盘一个找到了从0号MFT项至U36号MFT项，我们知道$MFT记录的0号MFT项到15号MFT项是NTFS文件系前面16个重要的元文件16到23号用作保留。而我们这里出现了36号MFT项,显然这个就是文件的MFT项了。硬超］OffsetOU60EOO04160E1004ie0E20D416CE300416CE4004160E5004160E607EFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFSwyyyyyyyyyyyyy

力中、母广帝为小际内aq

yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy“ME133895/409600膈福地址.4160E5C=255选块:*硬盘2Offset0123456789ABCDEF□4160EOD46_494C45,300003009C4A2口000000000001160E10□1ao□2QD3600QIaoEGaiao00□D□4aoao0416CE2000ao00000000000005aoDOoa2E0000ao01160E30□5aoao□aOD□0aoao10aoao□a6D□0aoao04160E400000DO0000OJ00004800co00IB0000no01160E50DFF2DE87DF74CAai00D6&EaoDF73CAaiQA1S0E604W__D66EAODF73CA01DFF2DB67DF74CADl偏移地址.FILEC....1Jfi&UlfitE..OnBsE.,Onv显区吧出.⑷阿）041GCE2C=35速块•Offset.□1234567a9ABcDEF04L60EOO00ao。口00000000ao0000DOoa0000000004L60E10aoaoao□aOD□0aoao00aoao□a00□0aoao04160E20OUQO000。OD00000000000。00OD0000口。04L60E30aoaoaoao□D00□0ao0000ao00□D□0□0ao□4L60E40OU口。。口。口000000000000oa00000000口。04160E5D0000。口□□00□000000000ao□□□0□00000D41G0E60000000QQQQ00□Q00□QQ口00QQ0000QO口□扇区133B昵仙口鸵口。脸地址416OE3C=36选梅Offset0620700006207C100B207C2006207C30Offset0620700006207C100B207C2006207C3006207C4006207C5006207C600123硬盘3200766号扇区找到了第一个MFT项，这块硬盘就一个MFT项，是0号MFT*趣盘1TOC\o"1-5"\h\z0C000000COCOOC00OCDCDODO00000000QC00OQ叩00QOQO00QO0000QD000(]口。00000000DO000000000000000000000000□00000□□0000QO00ODOOOQ00000000OOOC00ao0000OOCCOOOOOCOODOOD000000□oooaoQOoaodooooooooaaaodoooooooOC000000000000OD00000000000000002007SEM09&00脸地址0选段:6207C5CFABCD23785□£t国gtQ6207C0006207C1005207C20□6207030□&207C4005207C5006207C60000000DO000000000000DODO00000000□daoaoaoocooooaoodooaooooaooooao0000000000000000000000000。0000000000000000000000000000aoOO00000000ooao叩0000QOoooooooooooooo00DO0C000000COCO0C000C0C00DO00000000□D00(JQ□□DOODQ0DOQD00叩0000000000^[X2GO766J40960C僚移地址0选块:6207C2DJ4FILED...ud769ABCOffset062O7COO06207C1006207C2006207C3006207C40O52O7C5O06207C6D46494C4533QD03□□FS2C20000D00000001OtFiildo_33000100980100DO00040000□oooaoaodoodoo□□oeooao□□口口口口口口即船000001000000000100000006000oo-oo□ooolbaooaoooo□□48ooaa□□isodoooo5C33BBADCS71CA015033BBADCB74CA口15033B9ADCB74CA01SD33B6ADCB74CA012口口7日614（］96应二）偏移地址.0207030LHP3,-Et£-P3+-E：t^+P3±'-EtrS.P3j.-EtE.v3圆丸o现在我们应该就能判断了吧，硬盘2号记录的是$MFT这个元文件，而硬盘1和硬盘3记录的是$MFTMIRR这个元文件，也就是$MFT这个元文件前4个MFT项的备份，这个和NTFS系统的描述的样。呵呵，看来分析对了。。。我们说了系统先写入$MFT在写入$MFTMIRR而硬盘2就是$MFT硬盘1和硬盘3是$MFTMIRR而我们前面已经确定硬盘1是RAID的第一块盘，这里我想我们就能判断出硬盘2就是RAID0的第二块盘了吧。硬盘3是第三块盘。而且根据各磁盘上的MFT参考号，我们也能判断出，系统先向硬盘1写入数据，到该写入$MFT元文件的时候，就转到了硬盘2向硬盘2写入，写入完成之后又转到了硬盘3开始写入$MFTMIRR,因为硬盘3记录的MFI参考号是0接着又跳转到了硬盘1继续写入没有写完的$MFTMIRR所以硬盘1的MFT参考号是从1号开始的，这样就形成了一个完整的写入过程了。。盘序分析就出来了。。。盘序就是硬盘1硬盘2硬盘32确定块大小方法一：猜，逐个试，这个方法虽然笨了一点，但是很管用，我们已经确定了盘序，磁盘加入阵列的起始扇区是63号扇区，而块大小是2的整数次冥，也就是只可能是248163264128等等，那么就挨个试，如果块大小吻合，那么数据就能恢复成功。这里我在选择块大小是

128时，数据完美重现了，恢复完成。128时，数据完美重现了，恢复完成。1硬盘3硬盘2硬盘1分区类型:无法分区的像盘.1fL0^12.0MBJCD/DVD)ne/\:硬盘1+硬盘.文件大小I创建时间neyv修改时间访问时间文件Offset0123456789ABCDEF00000000EB52904E544653202020200002010000eRliSITFS.000000100000000000F800003F00FF003F0000000..?.y.000000200000000080008000FF5F120000000000....1.1.y_..000000300020060000000000FF2F090000000000•••••••q/••000000400200000008000000IF54AECO89AECOF2t®A0000005000000000FA33CO8EDOBC007CFBB8CO07....u3Alf)J4.|000000608ED8E81600B8000D8ECO33DBC606OE00106..,..IA3U0000007010E853006800OD686A02CB8A162400B4.eS.h..hj.El0000008008CD137305B9FFFF8AFl66OFB6C64066.I.s.1yylnf.00000090OFB6DI80E23FF7E286CDCOED064166OFOOOOOOAOB7C966F7El66A32000C3B441BBAA558A•Ef^afE.A^AOOOOOOBO162400CD1372OF81FB55AA7509F6Cl01.I.r.luU^uooooooco7404FE061400C36660IE0666Al100066t.p•••区f'•.fOOOOOODO0306IC00663B062000OF823A00IE666A•••••••1•OOOOOOEO0066500653666810000100803E140000.fP.Sfh....1OOOOOOFOOF85OC00E8B3FF803E140000OF846100.1..e3yl>...00000100B4428A16240016IF8BF4CD1366585B07'Bl.$・・..0000011066586658IFEB2D6633D266OFB7OE1800£X£X.e-£30£.0000012066F7FlFEC28ACA668BDO66ClEA10F736f-ntAIEflf)fA000001301A0086D68A1624008AE8COE406OACCB8..101.$.leAa000001400102CD13OF82190082CO0520008ECO66..1..I..lA.00000150FF061000FFOEOE00OF856FFF07IF6661•••・•・y...y....1oy00000160C3AOF801E80900AOFB01E80300FBEBFEA0.e..u.e.扇区0/1228800偏移地址：0=235选块：^linHex-L[RAIDD:硬盘J砥盘2+15fi33ValuAe]]*文件曲编强QJ搜素®位置口直若切工且⑴专业工具©选项。宦口也帮助⑭□卢昌囹曾D0硬电Li■建国.Valwa金-er4♦亡I底1文件名稀扩展4文件大小创国时词］修改阻向访问时间文件展第1扇区_lSE)dend344B2009-12-04182...2009-12-0418:2..2009-12-0418:2...SH401430SystemVolumeInformalion296B2009-12-041B2..2009-12-0410:2..2009-12-0416:2..8H401462(376B2009-12-0418:2...2009-12-0418:2...2009d2=0416:2...401466_Jdl8ngYanhiui376B2009-12-0418:2...2009-H2-0418:2...2009-12-0418:2...401468图自帮41KB2009^12-0410:2...2009-12-0420:4...2009-12-0420:4...SH6D219QI^|SDadClus:^Bad_]$VDlume]由日日日(加国OB2009-12^0416:2...2009-11^0410:2...口日2009-13-0416:2...3009-12-041口日2009-12-041&2...2DD9-12-0413:2..2009-12-041S：2...2009-1K418:2...20D9-12-Q413:2..(ADS)SHSH^secure口日200^12-04182.2QQ9-12-041B2,2009-12-0413：2,SHJiBoot80K日2009-12-041822009-12-0418:2..20Q9-12-Q4182“SHQiJLogFile5.0MB2009-12-04182..2009-12-0418:2..2009-12-0418:2..SH391248SAttrDef2.5KB2009-12-04182..2009-12-0418:2,..2009-12-0418:2..8HJ01392$Secure:S8DH4.0KB2009-12^0410:2...2009=12-0418:2...2009-12-0418:2...(ir.D-：i101397SMFT:$BitmapBB2009-12-0420DS-12-0418:2...2009-12-0418:2...(BTIO101407$MFT48.0KB2009-12-0410:2...2009-12-0418:2...2009-12-04