0x80属性分为常驻和非常驻两种。对于常驻的0x80属性,其属性体就是文件的内容;对于非常驻的0x80属性,属性中有文件大小、Run List等信息。只要熟练掌握这些结构,就能够有效地帮助我们在分析R…
0x30属性在RAID分析中比较有用的是文件名信息。通过各成员盘文件名的比较能够判断出哪个条带是校验块。 下面通过实例说明,一个3块成员盘组成的RAID-5。同时跳转到3块成员盘的3145797号扇区…
0x10属性在RAID分析中比较有用的是时间戳信息。通过各成员盘时间戳的比较能够判断出数据的新鲜度,有时候还能够判断出哪个条带是校验块。 以上文中图17-16的文件记录内的0x10属性为例,0x10属…
$MFT文件在RAID分析中可以很方便地帮我们找到校验块的位置,还能够分析出条带大小。 用$MFT文件定位校验块 $MFT文件由文件记录构成,每个文件记录的大小为两个扇区,并且文件记录都是以固定的4个…
$BOOT文件由DBR和NTLDR区域构成,DBR中的BPB参数对分析RAID结构很有帮助,另外,$BOOT文件有时候还能够帮助我们判断条带大小以及RAID成员盘的盘序。 通过BPB参数定位$MFT文…
在RAID数据恢复的分析过程中,分区结构可以帮助我们确定RAID成员盘的部分盘序,还可以帮我们确定RAID在物理盘中的起始扇区等信息,下面举例说明。 用分区结构判断盘序 一个RAID-0由两块1TB的…

关注我们的公众号

微信公众号