X-Ways Forensics处理Linux软RAID
第八届全国取证赛马上就要开始了,不少人都在摩拳擦掌积极备赛。今天突然有人问我Linux 软RAID的相关问题,我直接推荐UFS Explorer RAID Recovery,但试用版无法导出大文件(其实可以变通地先导出分区镜像,然后用其他工具加载并分析)。由于日常使用X-Ways Forensics更多一些,便尝试了一番,发现X-Ways其实处理软RAID也挺方便的。
Linux下的软RAID一般是Mdadm(全称Multiple Disk and Device Administration),2017年取证赛和2018年取证赛的团队赛中均有涉及,下面以2017年为例,介绍一下X-Ways的详细处理步骤。
三个镜像文件分别为“efc-hd1.E01”、“efc-hd2.E01”、“efc-hd3.E01”,大小分别为21.5GB、21.4GB、21.5GB。
X-Ways中新建案例,添加三个镜像文件。如图1所示。
X-Ways没有直接解析出RAID中的分区,但识别出了软RAID(MD RAID Container)。对于每个镜像,X-Ways均列出了RAID头及RAID容器,并对RAID头虚拟分区添加了RAID信息注释(见图一名称列的黄色图标),注释中包含RAID的UUID、RAID类型、磁盘数量、条带大小等信息。
双击打开每个镜像中的MD RAID Container分区,保证这些分区处于活动状态。此时这些分区中的数据暂时还无法查看。
点击主菜单“Specialist”→“Reconstruct RAID System”,如果当前使用普通权限打开的X-Ways,会弹出需要管理员权限的提示,可忽略。
在RAID设置界面,组件选择各镜像中的MD RAID Container分区,RAID头大小保持默认(0)。通过图2 X-Ways注释信息可知RAID类型为RAID 5 (backward dynamic),条带大小为1024。如图3所示。
点击“OK”后,X-Ways 目录浏览器(Directory Explorer)中会多出一个磁盘,里面有三个分区,其中分区1为LVM2容器,分区2、分区3存在于LVM2容器中,大小分别为25.1GB、27.0GB。如4所示。
此时X-Ways已经成功解析了RAID,但双击分区2、分区无法正常打开,尝试将识别的分区添加到案例,提示“Component partition cannot be remembered”,不知道是不是Bug。如图5、图6所示。
分别双击打开RAID中的分区2、分区3,然后点击主菜单中的File→Save As,将整个未识别的分区保存为单个文件,并作为镜像重新添加到案例,即可查看其中的内容。如图7所示。
总结一下要点:
1、X-Ways的RAID重组功能,数据源只能是磁盘或分区(可以是本地设备,也可以是X-Ways解析得到的),不能直接加载镜像。
2、对于软RAID,数据源应该是RAID容器分区,而不是磁盘。
3、软RAID参数,可以从X-Ways解析的RAID中查看。
4、对于本案例,X-Ways无法直接解析RAID中的两个卷(Volume)。RAID中看起来是两个卷,但是单独保存后重新加载,发现实际是分区(Partition)。
评论已关闭