0x10属性在RAID分析中比较有用的是时间戳信息。通过各成员盘时间戳的比较能够判断出数据的新鲜度,有时候还能够判断出哪个条带是校验块。

以上文中图17-16的文件记录内的0x10属性为例,0x10属性中“文件创建时间”的信息如图17-17所示。

图17-17中阴影部分是3块成员盘同一扇区0x10属性中的“文件创建时间”,旁边是数据解释器对时间信息的解释,很明显2.img的时间是不合理的,所以2.img当前扇区所在条带是校验块。

0x10属性在RAID分析中的作用-数据恢复迷

图17-17 3块成员盘的时间戳信息