因此，總的來說，我們不能確定數(shù)據(jù)將保持不變。

第二種方法是分別制作每個驅(qū)動器的映像。然后以只讀模式組裝數(shù)組。 

這是確保數(shù)據(jù)完整性的唯一方法，也使我們有機會研究HDD的所有區(qū)域（RAID可能不會從頭到尾使用整個磁盤，而只會使用其內(nèi)部部分磁盤。） ，可能有未使用的區(qū)域可以存儲隱藏數(shù)據(jù)）。

該方法的主要缺點是需要組裝陣列，即需要確定其配置。因此，為了正確執(zhí)行所有操作，我們需要定義配置。 

RAID組裝

要組裝RAID，必須確定：

• 使用了哪些驅(qū)動器：有時并非所有磁盤都已使用（可能有多余或多余的磁盤用于“系統(tǒng)”），有時磁盤數(shù)量不足（1個驅(qū)動器可能已損壞或被丟棄，但陣列仍可運行由于冗余）等等。
• 陣列中驅(qū)動器的順序。有時，它反映了磁盤在計算機內(nèi)部的放置順序，但不要以此為前提。
• RAID級別和算法（如果有）
• 用于條帶化的塊大小
• RAID中使用的開始和結(jié)束LBA（不一定使用從0到MaxLBA的驅(qū)動器）
• 延時。重復(fù)是Compaq和HP陣列（HP購買的Compaq）的共同特征。

為什么定義參數(shù)會出現(xiàn)問題？答案很簡單–所有可能的配置數(shù)量巨大！僅按驅(qū)動器的順序就可以為我們提供4種驅(qū)動器的2種變體，5種驅(qū)動器的100種變體和7種驅(qū)動器的數(shù)千種變體。而且，我們還有許多其他參數(shù)可乘以可能的配置數(shù)量。

當然，有一些簡單的情況，例如：

• 具有眾所周知的RAID元數(shù)據(jù)格式的軟件陣列
• 少量成員和簡單級別（例如，條紋或鏡像）

對于沒有經(jīng)驗的用戶，所有其他情況可能真的很難。此外，在現(xiàn)實生活中，您必須處理使其變得異常復(fù)雜的因素：

• RAID元數(shù)據(jù)丟失，損壞或不正確（“先前”磁盤壽命中遺留了，或者是陣列重新初始化的結(jié)果）
• RAID上的文件系統(tǒng)已損壞，并且很難使用其元數(shù)據(jù)來定義配置（病毒或惡意因素可能會損壞FS）
• 有些成員可以不使用-是熱備用磁盤或系統(tǒng)磁盤。
• 成員的另一個常見問題–您可能從許多不同的陣列中獲得了一堆驅(qū)動器。因此，您需要先了解哪個磁盤來自哪個陣列
• 下一個問題–具有奇異配置的陣列，例如，可能使用了從磁盤開始的異常移位或延遲，或者其他任何原因。
• 同樣，在破壞性重建之后通常還需要恢復(fù)數(shù)據(jù)–使用錯誤參數(shù)重建陣列的操作會導(dǎo)致數(shù)據(jù)損壞（重建本身可能是調(diào)查的原因）

檢查期間組裝RAID是必需的操作。即使此任務(wù)可能非常非常困難。 

成功秘訣

有什么可以幫助我們應(yīng)對所有困難？它是幾種思想和方法的聯(lián)合組合：

• 第一個是文件雕刻（Data Extractor中的“ RAW Recovery”模式），它能夠確定文件整數(shù)部分的大小
• 第二個是對Carver文件找到的結(jié)果進行統(tǒng)計處理。單個文件可能會給出錯誤的圖片，但是它們的設(shè)置顯示出非常好的結(jié)果
• 第三個是能夠快速檢查假設(shè)的能力，為此，我們需要一個工具來執(zhí)行與RAID轉(zhuǎn)換相關(guān)的所有轉(zhuǎn)換，換句話說，我們需要即時RAID重建。為每個假設(shè)檢查構(gòu)建圖像需要很多時間

接下來，我們將更詳細地研究所有這些內(nèi)容。

文件雕刻基礎(chǔ)

文件雕刻（在PC-3000中為“ RAW恢復(fù)”模式）是一種使用文件格式的知識而無需文件系統(tǒng)信息的情況下查找文件頭的方法。較簡單，較常用的方法是搜索文件開頭的簽名。例如，PNG圖像在文件的開頭具有簽名“％PNG”。對于其他文件類型，簽名當然是不同的。

文件格式的知識使我們不僅可以找到標頭，還可以從下面估算文件的整數(shù)部分。

例如，PNG文件由一系列塊組成，每個塊都具有簽名，大小和校驗和。即 我們可以足夠可靠地驗證它。這意味著，如果文件沒有損壞或碎片化，我們可以從頭到尾對其進行檢查，并說它是“完整”文件，并且文件大小為N個字節(jié)。

如果文件不完整或部分文件被重寫或其他內(nèi)容，那么我們可以說這里是標題，前幾部分是完整的。它們占用K個字節(jié)。損壞后的某個地方。它可以是K + 1字節(jié)或K + 100字節(jié)-未知。但是前K個字節(jié)完全是完整的。

對于不同類型的文件，檢查整數(shù)部分的能力和此檢查的準確性非常不同。如本例中那樣，可以從png檢查整個文件。在某個地方，我們只能從頭開始檢查幾百個字節(jié)，例如，對于BMP文件，它是否完整或損壞都無關(guān)緊要。

能夠找到標頭并檢查許多不同文件類型的整數(shù)部分是PC-3000 RAID系統(tǒng)的獨特功能，而其他工具則沒有。

RAID成員上的文件雕刻 

讓我們看一個簡單的RAID 5左同步（LS），它由3個成員組成。如果您曾經(jīng)嘗試過從RAID恢復(fù)數(shù)據(jù)，則您應(yīng)該熟悉此配置：

現(xiàn)在讓我們看一下其成員之一，例如，成員A：

該RAID表描述了轉(zhuǎn)換的重復(fù)規(guī)則。圖片僅顯示2次完整重復(fù)，第3次開始。由于它是RAID成員，因此它存儲數(shù)據(jù)塊和冗余塊– XOR。數(shù)據(jù)塊不會像0、1、2、3，…等一個接一個地走，它們之間有間隙– 0、3、6等，因為其他塊存儲在其他成員上。

現(xiàn)在讓我們談?wù)勗赗AID成員上文件雕刻的工作方式。 

該成員存儲數(shù)組的各個塊，因此文件的整數(shù)部分受塊大小的限制。

• 文件可能在數(shù)據(jù)塊內(nèi)的某處開始和結(jié)束
• 如果文件很大，由于文件的另一部分存儲在另一個成員上，因此它將在塊末尾中斷

在這里，我們看到了概率極小的情況：

RAID成員上文件的整數(shù)部分：

• 不能從一個塊移動到另一個塊
• 不能在XOR塊內(nèi)

當然存在這種情況，但是它們的數(shù)量比“正?！鼻闆r小得多（如上一張幻燈片所示）

結(jié)論是我們只能在單個數(shù)據(jù)塊中找到文件的整數(shù)部分。

雕刻數(shù)據(jù)的統(tǒng)計處理

RAID中的數(shù)據(jù)轉(zhuǎn)換規(guī)則是定期的。在我們的例子中，每3個塊中就有2個實際上是數(shù)據(jù)塊，較后一個是XOR：

如果我們僅求和每個塊的每個扇區(qū)中有多少個整數(shù)部分，我們將看到以下內(nèi)容：

• 數(shù)據(jù)塊中有很多文件的整數(shù)部分
• XOR內(nèi)部沒有任何內(nèi)容
• 您可以看到塊之間的邊界，因為文件沒有越過塊邊界

讓我們檢查一下實踐理論。只有PC-3000 RAID系統(tǒng)才能統(tǒng)計處理雕刻數(shù)據(jù)并以圖形方式顯示結(jié)果。在此屏幕截圖中，您可以查看在解決實際情況期間獲得的軟件直方圖：

該圖片與上一張非常相似。數(shù)據(jù)塊和“空” XOR塊清晰可見。紅線顯示零值和非零值彼此相鄰的位置。他們有助于查看潛在的街區(qū)邊界。

一次有3個驅(qū)動器：

我們可以看到XOR塊（“空”塊）位于RAID上不同的成員上的不同位置。塊大小等于128個扇區(qū)，并顯示在直方圖上（請不要忘記LBA從左到右，而不是從上到下增加。這是在寬屏顯示器上查看信息的一種更方便的方法。

不同時期的直方圖

周期大小是磁盤數(shù)乘以塊大小和延遲。那如果我們弄錯了怎么辦？我們會得到什么？這是有關(guān)同一磁盤的直方圖在不同期間的外觀的真實示例：

• 在第一種情況下，我們在塊大小上犯了一個錯誤–我們將塊大小設(shè)置為所需大小的2倍，并且收到的周期減少了2倍，目前尚不清楚這是RAID 5
• 第二張圖片–所有參數(shù)均正確，很明顯，這是RAID 5
• 較后一張圖片–我們選擇了錯誤的參與者人數(shù)– 4而不是3，然后我們再次看到直方圖被“打破”了

因此，如果我們以錯誤的周期構(gòu)建統(tǒng)計信息，我們將看到錯誤的直方圖。 

可以將其用作快速直方圖測試：計算周期并查看直方圖。如果可見空白區(qū)域（如在XOR塊中）–參數(shù)設(shè)置正確，否則-這可能是錯誤的，或者組態(tài)中沒有任何XOR，RS或HS塊。在現(xiàn)實生活中，直方圖可以立即生成，也可以在幾秒鐘內(nèi)生成。因此，這確實是一個快速測試。

不同配置的示例

現(xiàn)在，讓我們研究一下不同配置的一些模式。圖片上的所有直方圖均基于實際情況。

RAID 5、8個驅(qū)動器，塊大小為128個扇區(qū)

在這里，您可能會看到RAID 8配置建立在8個驅(qū)動器上，具有128個扇區(qū)的塊大?。?/font>