WINHEX的比较、同步功能加上NTFS对稀疏文件的支持

简介:
[原创]如何快速地分析RAID信息在每块盘上的记录方式,如何快速地确定系统的实质读写操作。WINHEX是一个非常好的软件,通过其比较和同步功能加上NTFS对稀疏文件的支持,看看怎么实现上述设想。。。
    我们会有这样的需求:在RAID上的几块硬盘上快速对比他们的某些扇区,以寻找一些特殊信息记录的位置和方法(如RAID信息);对比RAID的几块硬盘,以分析盘序和块大小;在一大片相同的数据中(如0或FF)寻找个异字节。这时候你可以试试下面的方法:
    在WINHEX的VIEW菜单里有两个项:synchronize Windows和synchronize &Compare,意为同步窗口和同步比较。
应用一:
    如果要在WINDOWS环境下对一个新硬盘进行分区操作,必须先对其初始化(WIN2000里称为签名),这个初始化到底做些什么呢(在硬盘上写哪些数据),假定我们现在想研究这个问题,我们可以这么做(这仅仅是示例)
    首先我们用虚拟机或可以虚拟硬盘的一些工具创建一个虚拟硬盘,容量尽量小一些,以便于分析。当然,也可以在物理硬盘上进行分析,但分析时间要久一些,而且,对物理硬盘操作可能会带来一些数据分险。假定我们已经创建好了一个大小为110MB的硬盘,可以从WINDOWS的磁盘管理里看到(图)。
    用WINHEX打开这块硬盘。可看到初始化的一些数据,这里我们先将硬盘镜像为D:\TEST1.IMG,以便于后期比较,方法可用WINHEX或其他工具实现(见相关文章)。然后在磁盘管理器当中对案例硬盘进行初始化,完成后如下图:
    接着在WINHEX中同时打开案例硬盘和D:\TEST1.IMG.如下图(左上可看到打开的两个对象的标签):
    确保两个对象的指针位置均指向0字节(打开后不做任何操作指针即可),然后选中VIEW菜单下的“synchronize &Compare”,如下图:
    字节用黑色标注意味着内容的不同,点击活动对象上的左右按钮,可自当前位置向上/向下查找最近的不同处。此例中,自0扇区最后的不同向下查找时,即弹出下面的对话框,意味着后面的字节全无异处。
    根据上述分析可得出结论:磁盘管理里的初始化实际只对硬盘的0扇区(即MBR扇区)进行写操作。继续针对0扇区进行分析则可知:初始化主要完成对硬盘写入唯一ID的功能,但同时会重写MBR引导代码、"55aa"有效结束标志,其作用类似于FDISK/MBR或FIXMBR。初始化可用于MBR引导代码损坏、遭遇引导性病毒等情况的处理。同时也可知,对硬盘不可贸然初始化(尤其是对磁盘阵列里的硬盘单独分析时),若非得初始化,则可提前备份其0扇区以备万一。
应用二:
    对于RAID磁盘阵列的数据恢复,其复杂性通常在于如何重建RAID的结构信息,如盘序、块大小、校验方式、RAID信息本身占用的空间等。在分析这些信息的时候,常常需要我们不断比较、分析一组条带的数据表现,这时候WINHEX的比较功能就能派上用场了。
    待续。。。




本文转自 水之真谛 51CTO博客,原文链接:http://blog.51cto.com/zhangyu/33879,如需转载请自行联系原作者
目录
相关文章
|
Linux Windows
第八章、【Linux】文件与文件系统的压缩,打包与备份
第八章、【Linux】文件与文件系统的压缩,打包与备份
80 0
|
Linux 数据安全/隐私保护 Windows
Linux中如何优雅的批量合并、拆分、加密pdf文件
在windows中合并个pdf还要让你冲会员,真的是狗。linux下有没有一款工具能完成对pdf的合并、切分的工具呢?
416 0
Linux文件系统(三)文档压缩及解压缩
Linux文件系统(三)文档压缩及解压缩
|
Windows
Windows无法安装,选中的磁盘为GPT分区形式
Windows无法安装,选中的磁盘为GPT分区形式
802 0
系统诊断小技巧(9):如何从Ext3或者Ext4文件系统推断分区位置
扩容失败或者系统重启后分区丢失,需要文件系统推定分区位置。我们这里给出一个自动化的工具
2283 0
|
Windows
Windows系统下磁盘结构的恢复方法
Windows系统下磁盘结构层面的数据恢复是一类很有趣的问题,处理这类问题的效果是非常明显,往往会给用户比较神奇的感觉。这次我们就结合实例来谈谈这类问题的处理方法与技巧。首先我们来了解一下磁盘分区的大致结构:   上图是磁盘大致的分区结构。
2212 0