本文介绍了在无法自动识别RAID磁盘时,如何利用取证大师和VMware进行RAID-5的重组与分析。首先,通过添加镜像创建案例并扫描磁盘结构来识别RAID。接着,使用VMware新建虚拟机挂载物理磁盘,调整启动项,进入Linux终端,并绕过密码。通过这些步骤,可以重组RAID并查看本地文件摘要,进一步进行文件系统的分析。
RAID重组
关于RAID磁盘阵列的基础知识就不说了,网上都有。这里主要说明一下重组的步骤。
使用工具
取证大师 Version 6.1.80018RTM
VMware Version 15.5.7
FTK Imager Version 4.1.1.1
取证大师技巧
RAID的识别
如果添加RAID时无法“自动计算磁盘序列”,即无法识别磁盘时,我们可以先按添加镜像的方式来创建案例先进行分析,
然后发现:
再对有感叹号的右键->扫描磁盘结构即可得到RAID-5
再对新出来的右键->raid重组即可看到磁盘同步顺序和条带大小
再对新出的带感叹号的进行磁盘结构的扫描可以得到linux本地文件。
查看本地文件摘要,可以确定卷组数:
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
