RAID重组——利用VMware和取证大师来重组

最新推荐文章于 2024-11-11 12:05:43 发布
最新推荐文章于 2024-11-11 12:05:43 发布
阅读量4.5k 收藏 22
点赞数 4
分类专栏: 电子数据取证 美亚杯 文章标签: linux vmware ubuntu 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46003360/article/details/119891095
版权
本文介绍了在无法自动识别RAID磁盘时,如何利用取证大师和VMware进行RAID-5的重组与分析。首先,通过添加镜像创建案例并扫描磁盘结构来识别RAID。接着,使用VMware新建虚拟机挂载物理磁盘,调整启动项,进入Linux终端,并绕过密码。通过这些步骤,可以重组RAID并查看本地文件摘要,进一步进行文件系统的分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

RAID重组

关于RAID磁盘阵列的基础知识就不说了,网上都有。这里主要说明一下重组的步骤。

使用工具

取证大师 Version 6.1.80018RTM
VMware Version 15.5.7
FTK Imager Version 4.1.1.1

取证大师技巧

RAID的识别

如果添加RAID时无法“自动计算磁盘序列”,即无法识别磁盘时,我们可以先按添加镜像的方式来创建案例先进行分析,

然后发现:

2018Teamraid_55取证结果1

再对有感叹号的右键->扫描磁盘结构即可得到RAID-5

再对新出来的右键->raid重组即可看到磁盘同步顺序和条带大小

2018Teamraid_55查看条带大小和RAID类型

再对新出的带感叹号的进行磁盘结构的扫描可以得到linux本地文件。

2018Teamraid_55本地文件1

查看本地文件摘要,可以确定卷组数:

最低0.47元/天 解锁文章
RAID重组视频
12-09
RAID重组视频,介绍raid重组的方法。如果需要重组练习镜像,请联系350102807
电子数据取证-Raid重组
weixin_44770698的博客
10-15 3368
数据取证中的RAID重组-基础学习
某大学数据恢复报告
milk10的博客
01-26 923
本案例详细介绍了数据库恢复的过程,包括RAID重组数据库数据的修复与验证。   故障设备   IBM DS5020 光纤存储   故障描述   存储上一共16块FC硬盘,单盘容量600G。存储前面板10号13号硬盘亮黄色故障灯,存储映射到redhat上的卷挂载不上,业务崩溃。   存储恢复流程   通过IBM storage manager连接到存储查看当前存储状态,存储报告逻辑卷
Raid重组技术,技术基本学习,备战美亚杯
ntrybw的博客
09-25 2409
VD (virtual Disk):虚拟磁盘,虚拟磁盘可J以不使用阵列的全部容量,也就是说一个可以分为多个VD;raid5:考的多,用的多,有校验位,分布在不同磁盘,同步主要是看校验位,就是四种,当然还有HP双循环,raid0:条带化raid,平均分配到2块,两个盘空间扩展,性能好,零损失,零容错,很难坏了恢复。Disk Group: 磁盘组,这里相当于是阵列,例如配置了一个Raid1, 就是一个磁盘组;raid1:完全镜像化,两个盘一起组,但是容错率高,虽然浪费了。逻辑盘:重组后,多块磁盘组成新的盘。
光纤存储重组raid磁盘阵列raid数据恢复
A17317974667的博客
07-14 442
通过查看RAID配置信息或文件系统的日志文件,获取RAID磁盘阵列的盘序、RAID级别(如RAID 0、RAID 1、RAID 5等)、RAID块大小、RAID校验走向等基本信息。:将所有硬盘进行扇区级备份,创建完整的镜像。:通过RAID控制器或存储管理查看RAID阵列的状态信息,包括硬盘的在线/离线状态、SMART状态等。:重组完成后,使用RAID验证RAID阵列的状态,确保所有硬盘都正常工作且RAID级别正确。:利用获取到的RAID配置信息,将移除的硬盘按照正确的顺序配置重新组合成RAID阵列
记一次Raid5重组
m0_72471908的博客
11-11 1492
UFS Explore Raid重组
历年美亚杯RAID重组解析汇总(附检材-软件)
m0_37867238的博客
11-07 1176
从历年的美亚杯来看,涉及到RAID重组出现的年份:2017年团体赛(Eric的Linux系统),2018年团体赛(RongkeDatabase 荣科数码数据库服务器),2019年团体赛(Hacker_raid),2020(Cole的NAS镜像,只有一个镜像文件 未组RAID 可以直接仿真)2021均未涉及,2022团体赛(流媒体服务器),2023团体赛(潘志辉的NAS组了RAID)。RAID重组主要是对镜像的处理与仿真,如果仿真不起来的情况下,可以直接读取文件直接看,因为本身Linux系统就是文件。
RAID5基础知识重组方法
weixin_33851604的博客
09-06 1300
RAID 5数据结构基础知识介绍 RAID 5 是一种存储性能、数据安全存储成本兼顾的存储解决方案。以四个硬盘组成的RAID 5为例,其数据存储方式如图4所示:图中,P0为D0,D1D2的奇偶校验信息,其它以此类推。由图中可以看出,RAID 5不对存储的数据进行备份,而是把数据相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息相对应的...
RAID服务器重组入门分析
步行者的专栏
07-05 1760
虽然复杂的RAID 系统有着特定的结构保护你的数据,但由于误操作硬件故障引起的数据丢失还是频繁地发生。大多数RAID用户看重的就是 RAID的容错功能, 然而很多误导宣传也使用户误以为RAID是不容易出故障或出现故障时RAID本身有处理容错的应变机制,所以没有认真地作备份, 因而忽视了RAID潜在危险,所以每当RAID故障时都是一场大的灾难。       RAID系统在出现故障是如果处理得当,在大多数情况下数据都是可以恢复的。在这里向大家介绍一种RAID的数据恢复方法。为此我先介绍两个非常好用的工具软件,
记一次raid5重组详细完整过程
study_starry的博客
11-14 8873
记一次raid5重组过程 重点:本文详细而啰嗦 1、专业工具-将镜像文件转换为磁盘。 2、设置一下高亮显示。截图的目的是因为之前没有给红框标记部分打钩,但是一直也高亮了,今天效果突然显示失败了,将小黑框模式更换为打钩状态,成功。 按F5,显示常规设置 3、查看文件系统 07:NTFS 0B/0C:FAT32 83:linux(ext3、ext4) 8e:LVM 4、 ...
VMware虚拟机创建raid
09-29
对于想了解raid但又没有设备的初学者,有一个初步的认识。
raid检查工具
07-05
多个raid检查工具,支持多种raid卡,解压后根据需求使用。
用r-studio软件恢复raid 5教程及说明
10-31
用r-studio软件恢复raid 5教程及说明
虚拟阵列变换MATLAB,虚拟重组RAID
weixin_39842744的博客
03-18 301
DiskGenius提供虚拟重组RAID功能,当RAID卡或RAID阵列中的磁盘发生故障时,可以使用DiskGenius虚拟重组RAID重组后,可以像操作普通磁盘及分区一样,恢复其中的文件及分区等重要数据。1. 想使用虚拟RAID重组功能,从主菜单选择"工具 - 组建虚拟RAID"菜单项。2. DiskGenius软件将显示"组建虚拟RAID"对话框界面。为虚拟RAID阵列添加磁盘或分区,调整磁...
VMware Workstation Pro 虚拟机做RAID
qq_40907977的博客
07-24 4510
虚拟机添加两块硬盘 安装raid管理工具mdadm yum install -y mdadm 查看磁盘情况 fdisk -l 创建raid1 mdadm -C /dev/md1 -n 2 -l 1 -a yes /dev/sd{b,c} 查看raid信息 cat /proc/mdstat 格式化 mkfs.ext4 -j -b 4096 /dev/md1 挂载 mkdir /mnt1 mount /dev/md1 /mnt1 echo "/dev/md1 /mnt1
RAID硬盘重建操作方法
weixin_34121282的博客
11-09 2725
用初始的驱动器重建RAID,要注意的是,一台服务器中一个硬盘报错并不意味着这个硬盘彻底坏了。在大多数情况下,利用原来那块坏的硬盘就能修复该报错硬盘.当你遇到故障硬盘并且整个RAID系统被降级运行的时候所应该重建工作.请注意,为了执行重建工作,键盘显示器与服务器本身正确连接. 导致服务器中的硬盘报错的原因可能是硬盘与服务器中的RAID控制器没有正确连接,这个时候,关...
联想服务器阵列数据恢复Raid5/0/6数据库RaidZ/虚拟机
A17317974667的博客
07-03 381
将所有硬盘按顺序编号并取出,使用只读方式对所有硬盘进行扇区级的镜像备份,避免在恢复过程中破坏原始数据。:首先需要明确是RAID 5/0/6阵列中的哪一部分出现故障,如硬盘掉线、阵列卡损坏、意外断电等。:在不清楚具体故障原因硬盘状态的情况下,避免进行Rebuild操作,以免数据进一步损坏。:基于镜像文件分析底层数据,获取RAID阵列的结构信息,如硬盘顺序、条带大小等。:从重组后的RAID阵列中提取数据,并进行验证,确保数据的完整性可用性。:根据分析得到的RAID结构信息,使用工具重组RAID阵列
RAID5数据恢复—raid5阵列如何重组raid5阵列重组方法详解
beiya123的博客
10-22 1409
RAID5数据恢复环境: 一台存储上有一组由12块SCSI硬盘(11块数据盘+1块热备盘)组建的RAID5磁盘阵列,FreeBSD操作系统+zfs文件系统。 RAID5故障: 其中一块盘出现故障,需要重组raid5磁盘阵列
R730重组阵列raid5
qq_44821149的博客
04-10 3405
如何进入阵列界面,可以参考这篇文章:R730服务器热插拔换磁盘(raid阵列) 首先来到阵列界面:来到红框Disk Group处,然后按F2 然后移到箭头处,回车(删掉磁盘组) 然后发现磁盘阵列已经被拆分了,到红框H730处,按F2 然后来到foreign config处回车,然后移到 Clear处,回车(清理外部配置)。 然后移到红框H730处,按F2 然后移到红箭头处,回车(创建新磁盘组) 进入新界面,然后在蓝框处,调整Raid level, 把raid level调为raid-5,并且把
raid重组 取证工具
最新发布
03-17
### 推荐的RAID重组取证工具 在数据恢复硬盘阵列重建领域,存在多种专业的工具可以满足不同场景下的需求。以下是几种常用的RAID重组取证工具及其特点: #### 1. **EnCase Forensic** EnCase 是一款广泛应用于数字取证领域的软件,支持复杂的 RAID 结构分析与重组功能。它能够处理各种类型的 RAID 配置(如 RAID 0, RAID 1, RAID 5 RAID 10),并具备强大的文件系统解析能力[^3]。 ```bash encase --analyze raid_structure /path/to/disk_images ``` 通过上述命令可初步扫描 RAID 的结构信息,并尝试自动识别配置参数。 #### 2. **FTK Imager** 由 AccessData 提供的 FTK Imager 不仅是一个优秀的磁盘映像工具,还具有一定的 RAID 组合还原能力。对于简单的 RAID 架构(例如 RAID 0 或 RAID 1),它可以快速完成虚拟组装工作[^4]。 #### 3. **R-Studio** 作为知名的数据恢复解决方案之一,R-Studio 支持复杂存储系统的重构过程,特别是针对损坏或者丢失元数据的情况尤为有效。该程序允许手动调整块大小、偏移量以及奇偶校验算法等设置来匹配原始 RAID 布局[^5]。 ```python import r_studio_api as rsapi def reconstruct_raid(disk_list): session = rsapi.create_session() for disk in disk_list: session.add_disk(disk) result = session.reconstruct_raids() return result ``` 以上代码片段展示了如何利用 R-Studio API 进行自动化 RAID 检测与修复流程。 #### 4. **mdadm (Linux Native Tool)** 虽然 mdadm 主要用于 Linux 平台上的软 RAID 创建管理,但在特定条件下也可以用来诊断已崩溃的 RAID 设备状态。借助其详细的日志记录机制,技术人员可以从残留碎片中推断出原初的设计模式[^6]。 --- ### 注意事项 当选用任何一种工具执行实际操作前,请务必做好充分准备,包括但不限于备份现有资料以防二次损害;详细了解目标硬件的具体规格特性以便正确设定相应选项等等。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TurkeyMan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值