苹果计算机RAID5阵列的取证与数据恢复.pdfVIP

苹果计算机RAID5阵列的 取证与数据恢复① 裴逸钧王龙双 华东政法大学计算机科学与技术系，上海，200042 摘要在目前存储设备日渐便捷化容量扩大化的基础上，针对于应用较为广泛的RMD5阵列进 行恢复，对其分析过程以及应用进行介绍。 关键词计算机取证，数据恢复，苹果机，RAIIB 1 引 言 近年来，RAID5阵列存储正逐渐的便捷化，使用愈之广泛，伴随着计算机犯罪率的不断提 高，使得在RAID5阵列基础上的数据恢复工作受到了越来越多的重视。本文主要以实例对苹 用前景提出了一些设想。 2具体实例分析 2．I 准备阶段 个分区格式化为HFS+文件系统，格式化完毕后填充一些数据。 对于组建RAID 5阵列，我们采用的是ORICO3539系列的阵列箱，附带有专门的软件 ORICOHWRAID Manager(下面简称RAID 插入硬件箱，连接好USB数据线以及电源，打开电源后，就可用RAID Manager对识别出来的3 块硬盘组建一个新的RAID5卷。由于ORICO3539系列的阵列箱偏向于家用产品，用户实际 并不知RAID卷的结构。 2．2 恢复阶段 在这个阶段，我们的目标是将去RAID化后的三块成员盘克隆成镜像(方便起见，只做部 分镜像)，使用WinHex软件对镜像进行分析，推断出该RAID5卷的结构，即三块成员盘的盘 序、校验条带的循环方向、数据条带的循环方向。 ①基金项目：华东政法大学项目名称：上海市创新活动计划BR021734。 42 (1)可能性分析 我们在磁盘l和3发现了GPT头，说明在O号条带组中必有磁盘l和3其中一个成员盘 基本一致，无法断定哪一个校验条带。继续往下分析，G紧接着GPT头的是GPT分区表。定 5卷只有3块成员 GPT分区表一模一样，磁盘3该扇区的内容全是0。由于实验中的RAID 的结论，对该RAID5卷的结构的可能性进行列举分析，最终我们给出一张可能性表(表略)。 对于常规RAID5结构，两个连续的校验条带不可能存在于同一个成员盘连续的条带，因 5结构图，最终我们得到 此排除第一种可能性。剩余3种可能性，我们依次画出可能的RAID 了可能的3种结构：左异步、右异步、右同步，各自的盘序(图略)。 (2)排除不正确的可能 通过前面的可能性分析，我们得出了3种可能的结构，接下来的分析就是逐个去排除不正 确的可能，最终得出正确的结构。从前面得到的GPI’分区表，我们看到，第1个分区起始扇区 OS 号是2097186，结束扇区号是148897826，分区名是Mac 的文件系统是HFS+。由于RAID5的校验条带均匀分布在每一个成员盘上，即对于每一个条 带组，都有一个条带是校验条带，所以对于该RAID5卷，包含3个条带的条带组上有1个校验 条带，数据仅分布在其余2个条带上。这样，我们就可以将整个RAID5卷的逻辑扇区号除以 2，即可得到每个成员盘上对应的逻辑扇区号，在每个成员盘上该逻辑扇区号附近就可能存在 我们要找的扇区。根据上面的思想，将第1个分区上的起始扇区号换算成每个成员盘上的扇 出结论，在磁盘l和2之中必有一个在该扇区是校验条带。利用前面分析出的3种可能的结 构，我们可以根据校验块的循环方向，推断该条带组的校验条带应该出现在哪个成员盘上。对 rood 于左结构，条带编号x与成员盘序号m(下同)，存在如下关系：m=2一x3；对于右结构，m =xmod 3。注意。这里的成员盘序号并非指先前指定的磁盘编号，例如磁盘l、磁盘2、磁盘3， 而是逻辑上正确的RAID5结构中的成员盘序号。对于1048594号扇区，无论是左结构还是右 结构，都能得出1号盘上