【技術(shù)視界】第10期：電子取證— RAID 5、RAID 6崩潰的數(shù)據(jù)恢復(fù)取證提取技術(shù)研究

　　編者按

　　本期感謝數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員帶來關(guān)于服務(wù)器陣列RAID 5、RAID 6崩潰后數(shù)據(jù)恢復(fù)取證技術(shù)的研究成果，提供一種成功率更高、操作更簡單的新方法，能有效應(yīng)對(duì)服務(wù)器陣列崩潰難以提取數(shù)據(jù)的取證難題。

　　在案件調(diào)查中，取證人員經(jīng)常會(huì)遇到服務(wù)器取證的案例，而服務(wù)器一般都會(huì)存儲(chǔ)大量的重要數(shù)據(jù)，很可能就記錄著最重要的線索，如果能夠直接提取，對(duì)于案件偵破可能起到關(guān)鍵作用。但由于服務(wù)器結(jié)構(gòu)復(fù)雜，且可能因?yàn)楹诳凸簟⑾到y(tǒng)異常、硬件老化等原因造成系統(tǒng)崩潰，要實(shí)現(xiàn)直接取證很有難度。目前，市面上有一些能對(duì)服務(wù)器數(shù)據(jù)進(jìn)行重組和恢復(fù)的方法，但普遍需要專業(yè)人士才能夠完成操作，而且恢復(fù)速度慢、正確率不高。研究一種普通取證人員都會(huì)使用的專業(yè)技術(shù)，對(duì)于電子取證非常重要。一、簡介1、認(rèn)識(shí)服務(wù)器

　　服務(wù)器，是提供計(jì)算服務(wù)的設(shè)備。服務(wù)器的構(gòu)成包括處理器、硬盤、內(nèi)存、系統(tǒng)總線等，和通用的計(jì)算機(jī)架構(gòu)類似，但是由于需要提供高可靠的服務(wù)，因此在處理能力、穩(wěn)定性、可靠性、安全性、可擴(kuò)展性、可管理性等方面要求較高。在網(wǎng)絡(luò)環(huán)境下，根據(jù)服務(wù)器提供的服務(wù)類型不同，分為文件服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用程序服務(wù)器、WEB服務(wù)器等。如圖所示，服務(wù)器外形有很多種。

　　服務(wù)器多采用陣列結(jié)構(gòu)存儲(chǔ)數(shù)據(jù)，磁盤陣列是由很多價(jià)格較便宜的磁盤，組合成一個(gè)容量巨大的磁盤組，將數(shù)據(jù)切割成許多區(qū)段，分別存放在各個(gè)硬盤上，常見陣列級(jí)別是RAID 5、RAID 6。

　　2、RAID 5使用信價(jià)比較高

　　RAID 5 是一種存儲(chǔ)性能、數(shù)據(jù)安全和存儲(chǔ)成本兼顧的存儲(chǔ)解決方案。RAID 5不對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行備份，而是把數(shù)據(jù)和相對(duì)應(yīng)的奇偶校驗(yàn)信息存儲(chǔ)到組成RAID5的各個(gè)磁盤上，并且奇偶校驗(yàn)信息和相對(duì)應(yīng)的數(shù)據(jù)分別存儲(chǔ)于不同的磁盤上。當(dāng)RAID5的一個(gè)磁盤數(shù)據(jù)發(fā)生損壞后，利用剩下的數(shù)據(jù)和相應(yīng)的奇偶校驗(yàn)信息去恢復(fù)被損壞的數(shù)據(jù)。

　　3、RAID 6 數(shù)據(jù)冗余性能好

　　RAID6是指帶有兩種分布存儲(chǔ)的奇偶校驗(yàn)碼的獨(dú)立硬盤結(jié)構(gòu),兩個(gè)獨(dú)立的校驗(yàn)系統(tǒng)使用不同的算法，數(shù)據(jù)的可靠性非常高。主要針對(duì)數(shù)據(jù)絕對(duì)不能出錯(cuò)的場(chǎng)合，如大存儲(chǔ)資源的企事業(yè)單位，例如影音多媒體數(shù)字內(nèi)容創(chuàng)作公司、個(gè)人影音剪輯數(shù)字內(nèi)容工作室、證券、銀行等金融行業(yè)、數(shù)字監(jiān)控系統(tǒng)(DVR)、網(wǎng)絡(luò)監(jiān)控系統(tǒng)(NVR)等。

常州數(shù)據(jù)恢復(fù)

　　RAID6技術(shù)是在RAID 5基礎(chǔ)上，為了進(jìn)一步加強(qiáng)數(shù)據(jù)保護(hù)而設(shè)計(jì)的一種RAID方式，實(shí)際上是一種擴(kuò)展RAID 5等級(jí)。與RAID 5的不同之處在于除了每個(gè)硬盤上都有同級(jí)數(shù)據(jù)XOR校驗(yàn)區(qū)外，還有一個(gè)針對(duì)每個(gè)數(shù)據(jù)塊的XOR校驗(yàn)區(qū)。這樣一來，每個(gè)數(shù)據(jù)塊有了兩個(gè)校驗(yàn)保護(hù)屏障（一個(gè)分層校驗(yàn)，一個(gè)是總體校驗(yàn)），因此RAID 6的數(shù)據(jù)冗余性能相當(dāng)好。

　　4、RAID 陣列被黑可能是一場(chǎng)災(zāi)難

　　由此可見，服務(wù)器陣列是一種存儲(chǔ)海量數(shù)據(jù)的好方法。但是，如果RAID陣列出現(xiàn)故障，比如黑客攻擊、硬件老化等，那后果往往也是災(zāi)難性的，所有數(shù)據(jù)全部丟失。如果在案件偵查中遇到服務(wù)器陣列崩潰，可能會(huì)導(dǎo)致整個(gè)案件陷入僵局。因此，針對(duì)RAID陣列的重組和數(shù)據(jù)恢復(fù)就必不可少了。目前市面上有一些針對(duì)RAID陣列的數(shù)據(jù)重組和恢復(fù)的方法，但是都需要專業(yè)人士才能夠完成操作，恢復(fù)速度慢、正確率不高。研究一種普通人可以使用的專業(yè)技術(shù)，對(duì)于電子取證非常重要。下面就以最常用的RAID 5 與RAID6為例詳細(xì)介紹。

　　二、技術(shù)方案

　　據(jù)數(shù)據(jù)恢復(fù)四川省重點(diǎn)實(shí)驗(yàn)室科研人員介紹，現(xiàn)在有一種全新的技術(shù)解決方案，可以快速解析整個(gè)陣列結(jié)構(gòu)速度快，數(shù)據(jù)重組速度快，數(shù)據(jù)恢復(fù)成功率高。

　　在服務(wù)器RAID 5 與RAID6 陣列中，參數(shù)包括磁盤順序、區(qū)段（條帶大小）、組合方式。我們組建陣列后，會(huì)在陣列上格式化文件系統(tǒng)，而陣列的這些參數(shù)就可以通過文件系統(tǒng)的參數(shù)來分析判斷，下面以NTFS文件系統(tǒng)的陣列為例講解。

　　1、分析陣列參數(shù)

　　高版本NTFS系統(tǒng)的MFT項(xiàng)是按照順序依次編號(hào)的，MFT會(huì)被均勻地分布在陣列的每個(gè)硬盤中，可以依據(jù)MFT的排序與分布的大小得到陣列參數(shù)。首先，需要借助十六進(jìn)制查看器加載陣列數(shù)據(jù)盤，在此，借助DRS數(shù)據(jù)恢復(fù)系統(tǒng)“陣列重組功能”中的十六進(jìn)制查看功能可以直接查看加載的源盤，得到下圖。當(dāng)然，也可通過winhex、十六進(jìn)制工具等進(jìn)行查看。

　　其中，A與B就是分析條帶大小與順序的重要參數(shù)：A是MFT的標(biāo)記，B是MFT的排列序號(hào)。

　　結(jié)合如下圖數(shù)據(jù)排列規(guī)律與MFT的排列序號(hào)就可以分析陣列參數(shù)。

　　圖中A1、A2、A3、Ap是3個(gè)連續(xù)數(shù)據(jù)塊與他們的校驗(yàn)值分別存儲(chǔ)在陣列四個(gè)硬盤上，使用標(biāo)記A在磁盤上找到MFT位置，查看B處序號(hào)的變化規(guī)律，在一個(gè)磁盤上找到B處編號(hào)從連續(xù)到不連續(xù)記錄，此處就是陣列一個(gè)區(qū)段的開始。從此處開始到下一個(gè)不連續(xù)處是一個(gè)陣列區(qū)段大小，將每個(gè)硬盤中區(qū)段開始B位置的參數(shù)記錄。通過手動(dòng)分析記錄至少一個(gè)循環(huán)周期參數(shù)，具體如下圖：

　　根據(jù)記錄的參數(shù)與陣列排列順序可以重組陣列，提取相關(guān)陣列中數(shù)據(jù)。

　　2、重組陣列數(shù)據(jù)

　　重組陣列數(shù)據(jù)是一個(gè)難點(diǎn)，因?yàn)榉治鰠?shù)使用的方式與手段較為復(fù)雜，不易快速重組成功。在此，推薦使用效率源DRS數(shù)據(jù)恢復(fù)系統(tǒng)，可以自動(dòng)重組陣列，如下圖所示：

　　3、提取陣列數(shù)據(jù)

　　將重組好的陣列，使用數(shù)據(jù)恢復(fù)軟件掃描就可以快速提取出數(shù)據(jù)。當(dāng)然，也可直接使用DRS的“數(shù)據(jù)恢復(fù)”模塊，一鍵完成，“列表區(qū)”將顯示相關(guān)數(shù)據(jù)的詳細(xì)信息，包括文件名、文件類型、文件大小、常見日期、修改日期、偏移位置等等，具體效果如下圖“黃色框”所示（文件敏感信息已馬賽克處理）：

　　總結(jié)：與常規(guī)的陣列恢復(fù)方法相比，本技術(shù)方案的核心是快速準(zhǔn)確的解析出相關(guān)參數(shù)，并且能夠成功組建陣列恢復(fù)出所需文件，能夠利用DBR特征和MFT特征快速掃描并得到整個(gè)陣列結(jié)構(gòu)，準(zhǔn)確區(qū)分?jǐn)?shù)據(jù)區(qū)與校驗(yàn)區(qū)數(shù)據(jù)，利用RIAD5、RIAD6的常見陣列排列方式進(jìn)行數(shù)據(jù)匹配重組，可應(yīng)對(duì)一塊硬盤丟失和兩塊硬盤丟失的數(shù)據(jù)恢復(fù)。解析整個(gè)陣列結(jié)構(gòu)速度快，數(shù)據(jù)重組速度快，數(shù)據(jù)恢復(fù)成功率高。同時(shí)，該技術(shù)方案已經(jīng)嵌入到效率源拳頭產(chǎn)品DRS數(shù)據(jù)恢復(fù)系統(tǒng)中，相對(duì)繁瑣復(fù)雜的過程都只需“一鍵操作”，一線取證人員很快就能掌握使用要領(lǐng)，第一時(shí)間獲取所有相關(guān)線索。

　　備 注轉(zhuǎn)載文章請(qǐng)注明出處并保持原圖文不變！【技術(shù)視界】系列推薦：

　　1、【技術(shù)視界】第1期：手機(jī)取證-手機(jī)音頻文件恢復(fù)提取技術(shù)研究

　　2、【技術(shù)視界】第2期：精確讀取  提高缺陷硬盤數(shù)據(jù)恢復(fù)成功率

　　3、【技術(shù)視界】第3期： 如何利用S.M.A.R.T.技術(shù)對(duì)硬盤進(jìn)行健康體檢？

　　4、【技術(shù)視界】第4期： 電子取證-wd硬盤固件損壞的文件恢復(fù)提取技術(shù)研究

　　5、【技術(shù)視界】第5期：電子取證——智能手機(jī)定位痕跡如何快速提取？

宿遷數(shù)據(jù)恢復(fù)

　　6、【技術(shù)視界】第6期：電子取證——日立硬盤BIOS加密無法訪問的快速解密方法技術(shù)研究

蘇州數(shù)據(jù)恢復(fù)

　　7、【技術(shù)視界】第7期：手機(jī)取證-SQLite數(shù)據(jù)庫文件恢復(fù)提取技術(shù)研究

　　8、【技術(shù)視界】第8期：視頻偵查-監(jiān)控主機(jī)自動(dòng)識(shí)別技術(shù)研究

　　9、【技術(shù)視界】第9期：視頻偵查——不轉(zhuǎn)碼直接檢索監(jiān)控視頻的方法探討