[原创]如何快速地分析RAID信息在每块盘上的记录方式,如何快速地确定系统的实质读写操作。WINHEX是一个非常好的软件,通过其比较和同步功能加上NTFS对稀疏文件的支持,看看怎么实现上述设想。。。
我们会有这样的需求:在RAID上的几块硬盘上快速对比他们的某些扇区,以寻找一些特殊信息记录的位置和方法(如RAID信息);对比RAID的几块硬盘,以分析盘序和块大小;在一大片相同的数据中(如0或FF)寻找个异字节。这时候你可以试试下面的方法:
在WINHEX的VIEW菜单里有两个项:synchronize Windows和synchronize &Compare,意为同步窗口和同步比较。
应用一:
如果要在WINDOWS环境下对一个新硬盘进行分区操作,必须先对其初始化(WIN2000里称为签名),这个初始化到底做些什么呢(在硬盘上写哪些数据),假定我们现在想研究这个问题,我们可以这么做(这仅仅是示例)
首先我们用虚拟机或可以虚拟硬盘的一些工具创建一个虚拟硬盘,容量尽量小一些,以便于分析。当然,也可以在物理硬盘上进行分析,但分析时间要久一些,而且,对物理硬盘操作可能会带来一些数据分险。假定我们已经创建好了一个大小为110MB的硬盘,可以从WINDOWS的磁盘管理里看到(图)。
用WINHEX打开这块硬盘。可看到初始化的一些数据,这里我们先将硬盘镜像为D:\TEST1.IMG,以便于后期比较,方法可用WINHEX或其他工具实现(见相关文章)。然后在磁盘管理器当中对案例硬盘进行初始化,完成后如下图:
接着在WINHEX中同时打开案例硬盘和D:\TEST1.IMG.如下图(左上可看到打开的两个对象的标签):
确保两个对象的指针位置均指向0字节(打开后不做任何操作指针即可),然后选中VIEW菜单下的“synchronize &Compare”,如下图:
字节用黑色标注意味着内容的不同,点击活动对象上的左右按钮,可自当前位置向上/向下查找最近的不同处。此例中,自0扇区最后的不同向下查找时,即弹出下面的对话框,意味着后面的字节全无异处。
根据上述分析可得出结论:磁盘管理里的初始化实际只对硬盘的0扇区(即MBR扇区)进行写操作。继续针对0扇区进行分析则可知:初始化主要完成对硬盘写入唯一ID的功能,但同时会重写MBR引导代码、"55aa"有效结束标志,其作用类似于FDISK/MBR或FIXMBR。初始化可用于MBR引导代码损坏、遭遇引导性病毒等情况的处理。同时也可知,对硬盘不可贸然初始化(尤其是对磁盘阵列里的硬盘单独分析时),若非得初始化,则可提前备份其0扇区以备万一。
应用二:
对于RAID磁盘阵列的数据恢复,其复杂性通常在于如何重建RAID的结构信息,如盘序、块大小、校验方式、RAID信息本身占用的空间等。在分析这些信息的时候,常常需要我们不断比较、分析一组条带的数据表现,这时候WINHEX的比较功能就能派上用场了。
待续。。。
本文转自 张宇 51CTO博客,原文链接:http://blog.51cto.com/zhangyu/33879,如需转载请自行联系原作者
