苹果系统阵列Pegasus_R6_RAID5 6盘阵列恢复经验

会员946801

第一次做苹果下的阵列，2天的样子零零散散把苹果的文件系统熟悉了，然后通过winhex逐步分析。通过客户描述，这个阵列只有1个分区，由于是6个盘的RAID5，每个盘是2T，所以数据的大小大致为10T左右。用winhex加载6个硬盘后，2个盘中第一个扇区都是保护MBR，即该阵列采用的是GPT分区。通过跳转到数据区，分析HFS+文件系统的卷头，从中获取编录文件的开始位置。编录文件的内容开始是头节点，标志是01，并得到每节点字节数是16个扇区。然后在其他盘中相近的位置也找到节点信息。然后通过节点的结构，分析出盘的顺序和条带大小。不过这里的盘的顺序并没完全分析出来，也用了一些推测和假设。硬盘顺序为4-1-5-0-2-6，条带大小为128KB，方向为右循环异步。恢复文件后发现全是一些广告的素材视频资料。

登录/注册后看高清大图

会员484758

看你写的像天书，大师是专门给人画符的吧

会员946801

C49电脑医院 发表于 2015-5-29 13:02
看你写的像天书，大师是专门给人画符的吧

只是分享思路，我也第一次做苹果的阵列

会员615013

这个是等大师们来讨论的，还是先讲讲怎么入门吧！我比较需要这个

会员897945

楼主看不懂你在说些什么呢

会员741835

看你写的像天书，大师是专门给人画符的吧

会员922904

好高深的东西

会员175886

好高大上哟，WINHEX

会员4301

向您学习了，Raid 5 没有独立的奇偶校验盘,故每块物理盘中都有校验信息，所以分析RAID-5多一个校验块的位置和方向，楼主没有说明是物理故障还是逻辑故障，向您学习了。。。实际工作中还没有接过APPLE类似的业务。R6推出也很多年了，这个是新版的R6吗？10T的话确实出乎意料了。

会员828858

看着好高深啊！

会员946801

李波瑞 发表于 2015-5-31 19:30
向您学习了，Raid 5 没有独立的奇偶校验盘,故每块物理盘中都有校验信息，所以分析RAID-5多一个校验块的位置 ...

具体原因是由于其中两个盘先后掉线最终导致不能直接查看数据。并且客户把所有的盘弄混淆了，只需要数据。分析中由于我接触苹果也很少，凭借分析NTFS阵列的相关经验(分析思路是差不多的）不过校验的判断和盘序真心有点麻烦。还有R6是不是新的我不清楚，反正从文件系统里查看到是2013.7创建的阵列，客户只分了一个区，而且是GPT分区模式，可以看到一个FAT32和HFS+。

会员946801

小鱼的爱 发表于 2015-5-31 18:55
好高大上哟，WINHEX

Winhex真心很强大~分析的最佳工具

会员4301

loyaltyzc 发表于 2015-6-1 10:25
具体原因是由于其中两个盘先后掉线最终导致不能直接查看数据。并且客户把所有的盘弄混淆了，只需要数据。 ...

不错，一通百通，向您学习了。苹果阵列在实际数据恢复工作中还没接触过。

会员9964

这个软件没见过。。下面的是 。WINHEX  .上面的这个软件没见过。。

会员228998

学下分析思路