【技術視界】第10期：電子取證— RAID 5、RAID 6崩潰的數據恢復取證提取技術研究

　　編者按

　　本期感謝數據恢復四川省重點實驗室科研人員帶來關于服務器陣列RAID 5、RAID 6崩潰后數據恢復取證技術的研究成果，提供一種成功率更高、操作更簡單的新方法，能有效應對服務器陣列崩潰難以提取數據的取證難題。

　　在案件調查中，取證人員經常會遇到服務器取證的案例，而服務器一般都會存儲大量的重要數據，很可能就記錄著最重要的線索，如果能夠直接提取，對于案件偵破可能起到關鍵作用。但由于服務器結構復雜，且可能因為黑客攻擊、系統異常、硬件老化等原因造成系統崩潰，要實現直接取證很有難度。目前，市面上有一些能對服務器數據進行重組和恢復的方法，但普遍需要專業人士才能夠完成操作，而且恢復速度慢、正確率不高。研究一種普通取證人員都會使用的專業技術，對于電子取證非常重要。一、簡介1、認識服務器

　　服務器，是提供計算服務的設備。服務器的構成包括處理器、硬盤、內存、系統總線等，和通用的計算機架構類似，但是由于需要提供高可靠的服務，因此在處理能力、穩定性、可靠性、安全性、可擴展性、可管理性等方面要求較高。在網絡環境下，根據服務器提供的服務類型不同，分為文件服務器、數據庫服務器、應用程序服務器、WEB服務器等。如圖所示，服務器外形有很多種。

　　服務器多采用陣列結構存儲數據，磁盤陣列是由很多價格較便宜的磁盤，組合成一個容量巨大的磁盤組，將數據切割成許多區段，分別存放在各個硬盤上，常見陣列級別是RAID 5、RAID 6。

　　2、RAID 5使用信價比較高

　　RAID 5 是一種存儲性能、數據安全和存儲成本兼顧的存儲解決方案。RAID 5不對存儲的數據進行備份，而是把數據和相對應的奇偶校驗信息存儲到組成RAID5的各個磁盤上，并且奇偶校驗信息和相對應的數據分別存儲于不同的磁盤上。當RAID5的一個磁盤數據發生損壞后，利用剩下的數據和相應的奇偶校驗信息去恢復被損壞的數據。

　　3、RAID 6 數據冗余性能好

　　RAID6是指帶有兩種分布存儲的奇偶校驗碼的獨立硬盤結構,兩個獨立的校驗系統使用不同的算法，數據的可靠性非常高。主要針對數據絕對不能出錯的場合，如大存儲資源的企事業單位，例如影音多媒體數字內容創作公司、個人影音剪輯數字內容工作室、證券、銀行等金融行業、數字監控系統(DVR)、網絡監控系統(NVR)等。

常州數據恢復

　　RAID6技術是在RAID 5基礎上，為了進一步加強數據保護而設計的一種RAID方式，實際上是一種擴展RAID 5等級。與RAID 5的不同之處在于除了每個硬盤上都有同級數據XOR校驗區外，還有一個針對每個數據塊的XOR校驗區。這樣一來，每個數據塊有了兩個校驗保護屏障（一個分層校驗，一個是總體校驗），因此RAID 6的數據冗余性能相當好。

　　4、RAID 陣列被黑可能是一場災難

　　由此可見，服務器陣列是一種存儲海量數據的好方法。但是，如果RAID陣列出現故障，比如黑客攻擊、硬件老化等，那后果往往也是災難性的，所有數據全部丟失。如果在案件偵查中遇到服務器陣列崩潰，可能會導致整個案件陷入僵局。因此，針對RAID陣列的重組和數據恢復就必不可少了。目前市面上有一些針對RAID陣列的數據重組和恢復的方法，但是都需要專業人士才能夠完成操作，恢復速度慢、正確率不高。研究一種普通人可以使用的專業技術，對于電子取證非常重要。下面就以最常用的RAID 5 與RAID6為例詳細介紹。

　　二、技術方案

　　據數據恢復四川省重點實驗室科研人員介紹，現在有一種全新的技術解決方案，可以快速解析整個陣列結構速度快，數據重組速度快，數據恢復成功率高。

　　在服務器RAID 5 與RAID6 陣列中，參數包括磁盤順序、區段（條帶大?。?、組合方式。我們組建陣列后，會在陣列上格式化文件系統，而陣列的這些參數就可以通過文件系統的參數來分析判斷，下面以NTFS文件系統的陣列為例講解。

　　1、分析陣列參數

　　高版本NTFS系統的MFT項是按照順序依次編號的，MFT會被均勻地分布在陣列的每個硬盤中，可以依據MFT的排序與分布的大小得到陣列參數。首先，需要借助十六進制查看器加載陣列數據盤，在此，借助DRS數據恢復系統“陣列重組功能”中的十六進制查看功能可以直接查看加載的源盤，得到下圖。當然，也可通過winhex、十六進制工具等進行查看。

　　其中，A與B就是分析條帶大小與順序的重要參數：A是MFT的標記，B是MFT的排列序號。

　　結合如下圖數據排列規律與MFT的排列序號就可以分析陣列參數。

　　圖中A1、A2、A3、Ap是3個連續數據塊與他們的校驗值分別存儲在陣列四個硬盤上，使用標記A在磁盤上找到MFT位置，查看B處序號的變化規律，在一個磁盤上找到B處編號從連續到不連續記錄，此處就是陣列一個區段的開始。從此處開始到下一個不連續處是一個陣列區段大小，將每個硬盤中區段開始B位置的參數記錄。通過手動分析記錄至少一個循環周期參數，具體如下圖：

　　根據記錄的參數與陣列排列順序可以重組陣列，提取相關陣列中數據。

　　2、重組陣列數據

　　重組陣列數據是一個難點，因為分析參數使用的方式與手段較為復雜，不易快速重組成功。在此，推薦使用效率源DRS數據恢復系統，可以自動重組陣列，如下圖所示：

　　3、提取陣列數據

　　將重組好的陣列，使用數據恢復軟件掃描就可以快速提取出數據。當然，也可直接使用DRS的“數據恢復”模塊，一鍵完成，“列表區”將顯示相關數據的詳細信息，包括文件名、文件類型、文件大小、常見日期、修改日期、偏移位置等等，具體效果如下圖“黃色框”所示（文件敏感信息已馬賽克處理）：

　　總結：與常規的陣列恢復方法相比，本技術方案的核心是快速準確的解析出相關參數，并且能夠成功組建陣列恢復出所需文件，能夠利用DBR特征和MFT特征快速掃描并得到整個陣列結構，準確區分數據區與校驗區數據，利用RIAD5、RIAD6的常見陣列排列方式進行數據匹配重組，可應對一塊硬盤丟失和兩塊硬盤丟失的數據恢復。解析整個陣列結構速度快，數據重組速度快，數據恢復成功率高。同時，該技術方案已經嵌入到效率源拳頭產品DRS數據恢復系統中，相對繁瑣復雜的過程都只需“一鍵操作”，一線取證人員很快就能掌握使用要領，第一時間獲取所有相關線索。

　　備 注轉載文章請注明出處并保持原圖文不變！【技術視界】系列推薦：

　　1、【技術視界】第1期：手機取證-手機音頻文件恢復提取技術研究

　　2、【技術視界】第2期：精確讀取  提高缺陷硬盤數據恢復成功率

　　3、【技術視界】第3期： 如何利用S.M.A.R.T.技術對硬盤進行健康體檢？

　　4、【技術視界】第4期： 電子取證-wd硬盤固件損壞的文件恢復提取技術研究

　　5、【技術視界】第5期：電子取證——智能手機定位痕跡如何快速提取？

宿遷數據恢復

　　6、【技術視界】第6期：電子取證——日立硬盤BIOS加密無法訪問的快速解密方法技術研究

蘇州數據恢復

　　7、【技術視界】第7期：手機取證-SQLite數據庫文件恢復提取技術研究

　　8、【技術視界】第8期：視頻偵查-監控主機自動識別技術研究

　　9、【技術視界】第9期：視頻偵查——不轉碼直接檢索監控視頻的方法探討