RAID重组取证各类工具实操方法

前言

取证竞赛中，尤其是美亚杯，几乎年年都会出现RAID重组相关的题目，做RAID相关的题目，尤其是RAID5类型，重组是必不可少的步骤，所以我总结了在取证竞赛实操中可以使用的几种方法工具，一般比赛的过程中，我一般用UFS和VMware+FTKimager手动仿真用的比较多。

毕竟2025美亚杯拿了团体第四之后，26年大三大概率不会再去美亚杯了，之后取证接触RAID会比较少，以这篇文章留念一下。

使用工具：X-ways，R-Studio，UFS，美亚取证大师，FTKimager

RAID类型

RAID 0：条带化（数据分块）但没有冗余，提供较高的读写性能。
RAID 1：镜像，数据完全复制到另一个驱动器，提供容错能力。
RAID 5：条带化加分布式奇偶校验，提供数据冗余和读取性能。目前美亚杯考核最常出现的类型，重点掌握。
RAID 6：类似于RAID 5，但提供更高级别的容错能力。
RAID 10：RAID 1+0，将RAID 1镜像组合成RAID 0条带化，提供较高的容错能力和读写性能。
RAID 50：RAID 5组合成RAID 0，提供较高的性能和容错能力。
RAID 60：RAID 6组合成RAID 0，提供更高级别的性能和容错能力。

硬RAID&软RAID（美亚出现过ZFS系统）：硬 RAID由 RAID 卡/阵列控制器实现 RAID0/1/5/6/10 等，操作系统看到的是一块“虚拟磁盘”；软 RAID由操作系统/文件系统实现同样的 RAID 级别

RAID阵列参数

前偏移：物理磁盘所在扇区号（MBR偏移）
条带：块的大小
盘序：物理磁盘组成Raid时的顺序
Raid Level：Raid5、Raid6….
循环方式（Raid5、6、HP）

工具重组方法

以2024美亚杯团体赛的NAS检材为例，记录介绍几种重组方法

UFS重组

在UFS中导入要重组的几块盘，导入之后UFS可以自动识别出RAID类型

右键RAID可以查看RAID配置信息、存储信息

一些简单题目可以直接在UFS打开文件系统找，如果需要进一步分析或仿真，可以打包成镜像用x-ways或者火眼分析

在镜像格式处选择Encase Image File Format导出为.e01格式（有压缩，不是dd的原始镜像）

R-studio重组

OpenImage处打开要重组的镜像，创建RAID处选择AutoDetect，右键镜像把检材加入到raid里

右键扫描创建的raid，扫描完成后能够自动识别RAID的基本信息

和UFS一样，可以导出重组好的镜像。

取证大师重组

美亚的软件，重组RAID还是可以的
|500

导入之后自动识别出RAID0了，接着右键扫描RAID，就能够打开文件系统了

查看本地文件摘要，可以确定卷组数：
|600

X-ways

x-way也有RAID重组功能，支持的类型

JBOD：硬盘簇（直连式硬盘簇，无冗余）
Level 0：RAID 0（条带化，无冗余）
Level 5: backward parity (Adaptec)：RAID 5：反向奇偶校验（Adaptec 实现）
Level 5: backward dynamic (AMI)：RAID 5：反向动态（AMI 实现）
Level 5: backward delayed (HP)：RAID 5：反向延迟（惠普 实现）
Level 5: forward parity：RAID 5：正向奇偶校验
Level 5: forward dynamic：RAID 5：正向动态
Level 5: forward delayed：RAID 5：正向延迟
Level 5: forward dyn. del. (CRU-DP)：RAID 5：正向动态延迟（CRU-DP 实现）
Level 5EE: backward parity (Adaptec)：RAID 5EE：反向奇偶校验（Adaptec 实现）
Level 5EE: forward parity：RAID 5EE：正向奇偶校验
Level 6: backward parity (Adaptec)：RAID 6：反向奇偶校验（Adaptec 实现）
Level 6: backward dynamic：RAID 6：反向动态
Level 6: forward delayed：RAID 6：正向延迟
Level 6: forward parity：RAID 6：正向奇偶校验