点击上方蓝字“小谢取证”一起玩耍
根据今年美亚杯团体赛官方所给到的检材列表中含有NAS镜像,NAS可以有做冗余,也可不做冗余。如2020年Cole的NAS镜像为单个镜像文件,没有做冗余,2023年潘志辉的NAS有三个镜像文件,做了冗余。所以在这里我们梳理一下历届美亚杯中有冗余镜像的年份。从历年的美亚杯来看,涉及到RAID重组出现的年份:2017年团体赛(Eric的Linux系统),2018年团体赛(RongkeDatabase 荣科数码数据库服务器),2019年团体赛(Hacker_raid),2020(Cole的NAS镜像,只有一个镜像文件 未组RAID 可以直接仿真)和2021均未涉及,2022团体赛(流媒体服务器),2023团体赛(潘志辉的NAS组了RAID)。从往届美亚杯考核RAID重组的难度来看(整理好的检材与工具在文末),对于大部分新手还是不友好的。原因在于基础的概念与简单识别RAID类别与其基本信息的操作方法没掌握,这篇文章我们将讲述通用的方法论,即当你遇到RAID镜像的时候该怎么做。
在实操开始前,首先对基础的概念,出现过的名词术语做一个简单的介绍。
1.什么是RAID存储?
答:
独立磁盘冗余阵列(RAID)是一种存储技术,通过将两个或多个硬盘驱动器(HDD)或固态硬盘(SSD)合并成一个协调的存储单元或阵列,从而创建数据丢失的故障安全机制。
2.RAID存储有什么好处?
答:
RAID存储通过将数据重复或重新创建,并将其存储在附加的驱动器上来防止磁盘驱动器数据的完全丢失,这个过程也被称为数据冗余。
提供数据丢失保护的配置被称为“容错”配置,这意味着即使磁盘驱动器发生故障,阵列仍然可以成功运行并提供可恢复的数据。
3.常见的RAID级别有哪些?
答:
RAID 0:条带化(数据分块)但没有冗余,提供较高的读写性能。
RAID 1:镜像,数据完全复制到另一个驱动器,提供容错能力。
RAID 5:条带化加分布式奇偶校验,提供数据冗余和读取性能。目前美亚杯考核最常出现的类型,重点掌握。
RAID 6:类似于RAID 5,但提供更高级别的容错能力。
RAID 10:RAID 1+0,将RAID 1镜像组合成RAID 0条带化,提供较高的容错能力和读写性能。
RAID 50:RAID 5组合成RAID 0,提供较高的性能和容错能力。
RAID 60:RAID 6组合成RAID 0,提供更高级别的性能和容错能力。
4.软RAID和硬RAID的区别
答:
根据实现模式,RAID又分为软RAID和硬RAID。
软件磁盘阵列(Software RAID):只需要主板支持即可(通常是芯片组内置的RAID功能,如Intel Matrix RAID,Intel Rapid Storage Technology),不需要任何磁盘阵列卡。若主板损坏,可能难以购买同款主板重建RAID。
硬件辅助磁盘阵列(Hardware-Assisted RAID):需要一张基于Fake RAID的RAID卡,以及厂商所提供的驱动程序,但此类RAID卡仍然通过CPU进行运算。这款RAID较易迁移到其他电脑。RAID功能靠运行于操作系统的厂商驱动程序和CPU运算提供。
操作系统的RAID功能:如Linux、FreeBSD、Windows Server等操作系统内置RAID功能。
5.美亚杯当中关于RAID检材常出现的名词有哪些?
答:
物理盘:即物理磁盘,是一种实际存在的硬件存储设备。
逻辑盘:逻辑盘是在物理盘的基础上,通过软件或操作系统的设置划分出来的具有一定逻辑结构的存储区域。逻辑盘必须建立在物理盘之上,没有物理盘提供实际的存储介质,就无法创建逻辑盘。例如,一块容量为 1TB 的硬盘(物理盘),可以通过操作系统的磁盘管理工具将其划分成几个不同大小的逻辑盘,如 C 盘、D 盘、E 盘等(在 Windows 系统中常见的分区形式)。
物理和逻辑盘的关系在Linux系统当中常以下面这样的形式存在:
添加图片注释,不超过 140 字(可选)
dev是device的缩写,dev目录是用于存储硬件设备信息的目录,通过该目录可以直接访问硬件,/dev/sda是指整个硬盘,/dev/sda1是指该硬盘下的第一个分区。
条带大小:在磁盘阵列中,数据被分割并存储到多个磁盘上时,每次写入或读取数据的基本单元大小。也是你重组RAID时需要获取的基本信息之一。
Disk Group:磁盘组,这里相当于是阵列,例如配置了一个Raid1, 就是一个磁盘组。
VD (virtual Disk):通过软件技术模拟出来的磁盘存储设备,它并不具备实际的物理磁盘硬件结构,但在操作系统及应用程序层面却能像真实的磁盘一样被使用,用于存储数据、安装程序等操作。;
PD (physical disk):真实物理形态的存储介质,用于在计算机中存储数据、安装操作系统、运行应用程序等。常见的物理磁盘包括硬盘驱动器(Hard Disk Drive,HDD)和固态硬盘(Solid State Drive,SSD)等。。
HS(Hot Spare):指在磁盘阵列配置中,预先准备好的一块或多块额外的物理磁盘,这些磁盘在正常情况下处于空闲状态,但时刻准备着在阵列中有磁盘发生故障时,自动接替故障磁盘的工作,以保障数据存储的连续性和系统的正常运行,无需人工手动干预启动替换过程。
RAID5当中涉及到的关键名词,重构RAID5 获取其循环方式也是重组成功的另一关键要素。
左循环不对称(异步)(Left-asymmetric) 右循环不对称(异步)(Right-asymmetric )
左循环对称(同步)(Left-symmetric) 右循环对称(同步) (Right-symmetric)
在Winhex中的表示方法:
添加图片注释,不超过 140 字(可选)
6.你重组RAID需要获取哪些信息呢?
答:1.RAID类型 2.条带大小 3.循环方式
如下图:可以看到是RAID5,64KB,左循环对称
添加图片注释,不超过 140 字(可选)
通用方法论:
给你那么多的镜像文件,你怎么样去解决这些镜像文件,如何识别出的循环方式及条带大小的基本信息?(以23年团体赛的潘志辉NAS为例)
方法一:直接使用UFS软件添加镜像进行重组(UFS软件文末提供):
可以看到去年潘志辉的NAS是给到的是好几个镜像文件
添加图片注释,不超过 140 字(可选)
2.对这些镜像文件进行处理就用UFS工具打开之,分别添加进去
添加图片注释,不超过 140 字(可选)
3.可以看到3个镜像文件已被添加进来
添加图片注释,不超过 140 字(可选)
4.接下来利用UFS自动分析重组功能
添加图片注释,不超过 140 字(可选)
5.按顺序添加好后可以看到UFS已经自动将RAID进行重组,重组成功的RAID名称为SG7:2,RAID类型为RAID5,左循环同步,条带大小为64KB
添加图片注释,不超过 140 字(可选)
方法二:
//使用r-studio软件 逐个打开镜像后再 “创建虚拟块RAID和自动检测
添加图片注释,不超过 140 字(可选)
但扫描的时间会比较久,还是UFS好用
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
方法三:使用取证大师将镜像都添加进来,让其自动识别
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
磁盘结构扫描完成后再右键选择RAID重组
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
如果上述方法不奏效,需要用到FTK挂载(挂载方法见题解实操部分),配合UFS使用即可。
添加图片注释,不超过 140 字(可选)
如何将RAID镜像进行仿真?
方法一:直接使用仿真工具将所有的镜像进行加载,如17年的RAID,22年的RAID
17年:
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
22年:
添加图片注释,不超过 140 字(可选)
仿真成功:
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
方法二:利用FTK进行挂载为本地磁盘(挂载方式为可写),再利用Vmware软件添加物理磁盘的方法进行手工仿真或者是直接使用仿真软件添加本地磁盘进行仿真。
附上2019年RAID重组操作方法与题解:
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
添加图片注释,不超过 140 字(可选)
总结:
17年团体赛的RAID可以直接通过仿真软件仿起来,通过取证大师加载镜像即可得:
添加图片注释,不超过 140 字(可选)
18年的荣科数码RAID直接用UFS加载镜像即可得:
添加图片注释,不超过 140 字(可选)
19年上述题解有讲解,22年MediaServer直接仿真,UFS直接识别,23年也是UFS直接识别。
RAID重组主要是对镜像的处理与仿真,如果仿真不起来的情况下,可以直接读取文件直接看,因为本身Linux系统就是文件。
最后附上美亚杯历年RAID检材与工具(UFS、FTK、R-STUDIO、Passwarekit):后台回复“RAID”即可获取。
添加图片注释,不超过 140 字(可选)
敬请各位大佬关注:小谢取证
添加图片注释,不超过 140 字(可选)
小谢取证专注于电子数据取证领域、网络空间资产测绘分析与新型网络犯罪调查、AIGC应用创作分享。
添加图片注释,不超过 140 字(可选)
扫一扫
1337
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
