Nous nous efforçons de fournir des solutions logicielles rapides, efficaces et abordables qui établissent de nouveaux standards dans l'industrie du développement logiciel.
  • Trouver les paramètres RAID

Lorsque nous avons développé le sujet de la récupération de données depuis des RAID, nous estimions connaître déjà les paramètres RAID. Cependant, dans certains cas, on ne connaît pas les paramètres du RAID à reconstruire. Comment les trouver? Les distributeurs RAID peuvent vous aider avec des valeurs par défaut, mais quelques fois les paramètres ont été personnalisés et sont inconnus. Est-ce que R-Studio peut être utile dans ce cas? Oui, nous pouvons utiliser l'éditeur intégré texte/hexadécimal pour analyser les données dans les éléments RAID dans le but de retrouver ses paramètres. Dans cet article, nous vous montrerons comment le faire en utilisant un simple NTFS RAID 5 comme exemple.

Une telle tâche requiert au moins une connaissance de base des structures de données RAID et des systèmes fichier. Si nécessaire, vous pouvez trouver des informations utiles sur les sites web suivants:
RAIDs: http://en.wikipedia.org/wiki/RAID
Bases NTFS: http://en.wikipedia.org/wiki/NTFS
NTFS en profondeur: http://technet.microsoft.com/en-us/library/cc758691.aspx

Essayons donc de trouver les paramètres requis pour un simple RAID 5 inconnu.

Ses paramètres connus sont:
1. Nombre de disques: trois
2. Système fichier: NTFS (créé par Windows XP/2003 puis utilisant un standard Master Boot Record (MBR bloc de départ)
3. Type: volume basique

Ses paramètres inconnus qui doivent être trouvés sont:
1. Ordre du disque
2. Taille de bloc 3
3. Ordre de bloc
4. Décalage du disque

Les disques RAID sont représentés comme des fichiers image créés dans R-Studio:
Disk1.arc
Disk2.arc
Disk3.arc
Trouver les paramètres RAID: Fichiers image des composants du RAID
Cliquez sur l'image pour agrandir
Fichiers image des éléments RAID

Veuillez noter que même si R-Studio a trouvé un objet Disk1 sur Disk2.arc, cela ne signifie pas nécessairement qu'il s'agisse du premier disque sur le RAID.


Trouver le Master Boot Record
Nous devons d'abord trouver le MBR pour déterminer un décalage RAID.
1. L'un après l'autre, ouvrez les trois fichiers images dans l'éditeur texte/hexadécimal.
2. N'activez pas l'écriture pour éviter la corruption accidentelle de données dans les objets en cours d'édition!
3. Écrivez la signature de disque Windows pour chaque objet pour reconnaître plus tard quel fenêtre d'éditeur appartient à quel objet.
4. Recherchez le bloc de départ MBR. Dans la boîte de dialogue "Search", saisissez 33 C0 8E D0 BC (c'est le bloc de départ MBR standard, mais dans certains cas il peut être différent) dans le champ "HEX", sélectionnez ensuite "From start position" (Depuis la position de départ) et saisissez 0 dans "Search at offset" (Recherchez le décalage).
5. Cliquez sur OK pour commencer la recherche.
Trouver les paramètres RAID: Boîte de dialogue recherche
Boîte de dialogue de recherche des données pour commencer à chercher le Master Boot Record (MBR)

Résultats de recherche:
Trouver les paramètres RAID: Disk1.arc ouvert dans l'éditeur texte/hexadécimal
Cliquez sur l'image pour agrandir
Disk1.arc ouvert dans l'éditeur text/hexadécimal

Trouver les paramètres RAID: Disk2.arc ouvert dans l'éditeur texte/hexadécimal
Cliquez sur l'image pour agrandir
Disk2.arc ouvert dans l'éditeur text/hexadécimal. Modèle MBR trouvé.

Trouver les paramètres RAID: Disk3.arc ouvert dans l'éditeur texte/hexadécimal
Cliquez sur l'image pour agrandir
Disk3.arc ouvert dans l'éditeur text/hexadécimal. Modèle MBR trouvé.

L'éditeur texte/hexadécimal trouve comme résultat la modèle situé à l'adresse 00 sur le Disk2.arc et le Disk3.arc; Disk1.arc ne montre que des zéros. Cela signifie que le décalage est 0, et le Disk1.arc ne peut pas être le premier disque dans le RAID.

Entre temps, l'éditeur a correctement reconnu ces modèles sur les Disk2 et Disk3 en tant que code chargeur bootstrap master. Dans notre cas, deux disques ont les mêmes données MBR au même endroit.

La seconde étape consiste à trouver le secteur de boot NTFS.
Jetez un œil au champ "Sectors preceding partition" (Secteurs précédant la partition) sur le volet "Template" (Modèle)
Trouver les paramètres RAID: Modèle de disque
Cliquez sur l'image pour agrandir
Volet modèle pour Disk2 et Disk3

Dans notre cas, le secteur précédant la partition est 16,065.

Si cette valeur est plus grande que 63, nous devrions la diviser par N -1, où N est le nombre de disques (ici, N = 3), ce qui nous donne 8,032. C'est une position approximative pour commencer à chercher le secteur de boot NTFS. Nous allons démarrer la recherche depuis cette position pour éviter de trouver de faux secteurs de boot NTFS qui peuvent rester de partitions NTFS précédentes.

Sautez jusqu'au secteur dans l'éditeur et recherchez le modèle de secteur de boot NTFS.
Trouver les paramètres RAID: Recherche de secteur
Cliquez sur l'image pour agrandir
Champ de recherche des secteurs dans l'éditeur texte/hexadécimal


Dans la boîte de dialogue "Search", saisissez EB 52 90 4E 54 46 53 20 20 20 20 (le secteur de boot NTFS commence toujours par ces bytes) dans le champ "HEX", sélectionnez "From current position" (Depuis la position actuelle) et saisissez 0 dans "Search at offset" (Rechercher au décalage).
Trouver les paramètres RAID: Recherche de secteur de démarrage NTFS
Cliquez sur l'image pour agrandir
Boîte de dialogue de recherche des données pour commencer à chercher le secteur de boot NTFS

L'éditeur trouve ce modèle au secteur 8064 sur Disk2 et Disk3.

Sélectionnez maintenant le modèle "Boot sector NTFS" (Secteur de boot NTFS) dans le volet "Template".
Trouver les paramètres RAID: Secteur de démarrage NTFS trouvé
Cliquez sur l'image pour agrandir
Disk2.arc ouvert dans l'éditeur texte/hexadécimal. Modèle de secteur de boot NTFS trouvé. Le même modèle est trouvé dans Disk3.arc.

Paramètres requis qui ont été trouvés
Bytes par secteur: 512
Secteurs par grappes: 8
Nombre logique de grappe pour le fichier $MFT: 786432

Paramètres précédemment trouvés:
Décalage RAID: 0

Nous avons besoin ensuite de trouver la MFT (master file table) sur le disque:

1. Nous allons essayer de trouver un décalage MFT approchant du départ de RAID:
Décalage MFT du départ de la partition dans les secteurs = Nombre logique de grappe pour le fichier $MFT * Secteurs par grappe+Décalage RAID = 786,432*8+0 = 6,291,456
Si le décalage RAID n'est pas 0, nous avons besoin d'ajouter le décalage au résultat de l'équation ci-dessus.
Départ de MFT sur le premier disque = Décalage MFT du départ de la partition dans les secteurs/(N-1) = 6,291,456/2 = 3,145,728

2. Nous allons commencer à rechercher le départ MFT exact à une position minorée de quelques milliers de secteurs par rapport à cette valeur. Disons, le secteur 3,140,000.
Dans la boîte de dialogue "Search", entrez "FILE" dans le champ ANSI, puis sélectionnez "From current position" et entrez 0 dans "Search at offset".
Trouver les paramètres RAID: Modèle de fichier
Cliquez sur l'image pour agrandir
Le modèle est trouvé au secteur 10,241,463 sur le Disk2 et au secteur 3,153,792 sur le Disk3.

Trouver les paramètres RAID: Modèle de fichier
Cliquez sur l'image pour agrandir
Premier secteur d'enregistrement de fichier sur le Disk3. Départ d'un bloc de données.

Ce qui est important: La signature de FILE finit par 0, ce qui signifie que le nombre d'enregistrement de fichier n'est pas remplacé. S'il avait terminé par * (FILE*), nous n'aurions pas pu aller plus loin dans notre recherche et nous aurions eu besoin d'utiliser une autre technique.

Le modèle $.M.F.T. (HEX 24 00 4D 00 46 00 54) montre qu'il s'agit d'un départ de MFT correct.
Parce que le secteur 3,153,792 est plus proche de notre valeur attendue du secteur 3,145,728 que du secteur 10,241,463, nous pouvons présumer que le Disk3 est le premier disque dans le RAID.

Pour aller plus loin, nous avons besoin de garder à l'esprit qu'un enregistrement de fichier en MFT occupe deux secteurs et que les données sont écrites sur un RAID 5 successivement, d'un bloc de donnée vers le disque suivant et d'un bloc de parité vers le troisième disque. Nous pouvons représenter un exemple d'un tel schéma dans le tableau suivant...

Premier disque RAID Deuxième disque RAID Troisième RAID
PD 1 2
3 PD 4
5 6 PD
... où les nombres représentent l'ordre dans lequel les blocs de données sont écrits vers leurs disques respectifs, et où PD signifie bloc de "parité des données".
(Ce tableau représente seulement un exemple et l'ordre de bloc peut être arbitraire dans un cas général.)

Cela signifie ici que les nombres d'enregistrement de fichier dans le MFT vont augmenter d'une unité dans un bloc de données. Le MFT va donc continuer sur un autre disque, où les nombres d'enregistrements de fichiers vont augmenter d'une unité dans son bloc de données respectif, le troisième disque contenant le bloc de parité. Et ainsi de suite.

Donc, pour trouver la taille de bloc, nous allons regarder les nombres d'enregistrements de fichiers sur le disque pour découvrir l'endroit où ils n'augmentent plus. Cet endroit signifierait la fin de ce bloc de données. Nous allons alors regarder à d'autres disques pour trouver le disque et l'endroit où les nombres d'enregistrements de fichiers dans le MFT reprennent leur progression d'une unité. Nous regarderons ensuite à un autre disque pour trouver où le MFT continue, et ainsi de suite.

Une telle recherche peut être faite en déroulant le texte dans l'éditeur de deux secteurs.

Sur le Disk 3 le bloc de données finit dans le secteur 3,153,919 avec le nombre d'enregistrement de fichier 3F 00.

Trouver les paramètres RAID: Dernier enregistrement de fichier
Cliquez sur l'image pour agrandir
Dernier enregistrement de fichier dans le Disk3. La fin des blocs de données se trouve dans le prochain secteur (3,153,919).

En regardant d'autres disques, nous voyons que que ce MFT continue sur le Disk 1 dans le secteur 3,153,792 avec le nombre d'enregistrement de fichier 40 00 et finit dans Sec: 3,153,919 avec le nombre 7F 00. Et ainsi de suite.

Trouver les paramètres RAID: Enregistrement de fichier sur le disque 1
Cliquez sur l'image pour agrandir
L'enregistrement de fichier continue sur le Disk1. Départ d'un bloc de données.

Trouver les paramètres RAID: Fin du bloc de données
Cliquez sur l'image pour agrandir
Dernier enregistrement de fichier sur le Disk1. La fin du bloc de données se trouve dans le prochain secteur (3,153,919).

Les résultats finaux sont représentés dans le tableau ci-dessous:
Disk1 Disk2 Disk3
Sec: 3,153,792 Rec: 40 00
Sec: 3,153,918 Rec: 7F 00
Sec: 3,153,919 End of stripe
Sec: 3,153,792 Non records
Sec: 3,153,918 Non records
Sec: 3,153,919: End of stripe
Sec: 3,153,792 Rec: 00 00
Sec: 3,153,918 Rec: 3F 00
Sec: 3,153,919 End of stripe
Sec: 3,153,920 Rec: Non records
Sec: 3,154,046 Rec: Non records
Sec: 3,154,047 End of stripe
Sec: 3,153,920 Rec: C0 00
Sec: Sec: 3,154,046 Rec: FF 00
Sec: 3,154,047 End of stripe
Sec: 3,153,920 Rec: 80 00
Sec: 3,154,046 Rec: BF 00
Sec: 3,154,047 End of stripe
Sec: 3,154,048 Rec: 00 01
Sec: 3,154,174 Rec: 3F 01
Sec: 3,154,175 End of stripe
Sec: 3,154,048 Rec: 40 01
Sec: Sec: 3,154,174 Rec: 7F 01
Sec: 3,154,175 End of stripe
Sec: 3,154,048 Rec: Non records
Sec: 3,154,174 Rec: Non records
Sec: 3,154,175 End of stripe
"Non records" signifie qu'il s'agit d'un bloc de parité.

Trouver les paramètres RAID: Secteur de parité
Cliquez sur l'image pour agrandir
Exemple d'un secteur de parité

En regardant le tableau ci-dessus, nous pouvons trouver les paramètres suivants:

Ordre de disque:
Premier disque RAID Disk3.arc
Deuxième disque RAID Disk1.arc
Troisième disque RAID Disk2.arc

Décalage: 0
Taille de bande: 128 sectors, ou 65,536Ko (64Ko)
Ordre de bande: (PD signifie Parité des données)

Premier disque RAID Deuxième disque RAID Troisième disque RAID
1 2 PD
3 PD 4
PD 5 6

Nous pouvons créer maintenant le RAID suivant dans R-Studio:
Trouver les paramètres RAID: Objet RAID 5 créé
Cliquez sur l'image pour agrandir
Objet RAID 5 créé dans R-Studio

R-Studio trouve un système fichier valide sur le RAID (Partition 1)

Double-cliquez sur la Partition 1 pour énumérer ses fichiers:
Trouver les paramètres RAID: Structure de fichier/dossier trouvée
Cliquez sur l'image pour agrandir
Structure dossier/fichier par R-Studio

R-Studio affiche une structure dossier/fichier valide, ce qui est un bon symptôme. Pour enfin vérifier que nous avons créé le RAID avec les paramètres corrects, vous pouvez prévisualiser un fichier. Un fichier en aperçu devrait être plus grand que la taille de bloc * (Nombre de disques -1). 128Ko dans notre cas.
Trouver les paramètres RAID: Aperçu de l'image
Cliquez sur l'image pour agrandir
Aperçu du fichier Picture 236.jpg

Le fichier est prévisualisé avec succès. Nous avons créé un RAID avec les paramètres corrects.
Appréciation de la récupération de données
370 feedbacks
Rating: 4.8 / 5
I really love your R-Studio product, I am doing Data Recovery as a professional, I used RS since the early versions and I loved the product, as far as I can tell, R-Studio, especially the Tech Version (but including the standard) is one of the best and excellent tools for a pro to have in the arsenal of tools in a pro DR lab, especially combining with the specialized Data Recovery hardware providers like DeepSpar, and PC3000, the rest of `wannabees` out there are waste of time, strongly recommend
I lost more than 200K files from my NAS due to a mistake. I tried 3 different recovery solutions over the 4 TB raid disks, and all of them performed ok but to be honest none of them were able to Raw recover the files and rename them with meaningful names out of the Metadata like R-TT did, then I was able to sort again my files and pictures and kind of restore all of them.

R-TT may not be the easiest or most user-friendly solution, but the algorithm used for the renaming saved me THOUSAND of hours of opening ...
Just recovered my old ext4 partition with R-Studio after trying testdisk and R-Linux without success. That partition was overwritten by another ext4 partition and I was losing my hope until I tried R-Studio demo. It detected all my files and directories again!

Bought it and 100% recommend it for anyone with a similar issue.
Genuinely tried every free program available without luck of recovering a deleted file from months ago. Thinking my file was deleted forever and lose all hope I came across this website as a recommendation.

I was reluctant as it seemed pricey compared to other programs, but damn worth every penny. It managed to even find files I thought were wiped from existence.

Kudos to r-tools, thank you!
Why make incremental backups, when there is R-Studio?

I`m an IT professional who has worked from home for over a decade. Early on in my career, I configured an HP ProLiant Server (Raid 1+0) as a workstation that I would remote into from my laptop. As technology evolved, I began to use it only for email and as a config file repository.

A short while ago, one of the drives degraded, but the HP ProLiant Server (Raid 1+0) still functioned fine on the remaining drive. I was complacent and didn`t replace the ...