RAID10取证——从一张错乱的伪ID卡说起

上个月有个客户拎着四块希捷3T硬盘冲进我们实验室，眼睛通红：“公司ERP数据库全没了，财务数据、合同，还有……你们一定要救活。”我让同事先做镜像，自己盯着硬盘标签发呆。型号一致，固件版本接近，但序列号跨度很大——我一下子就紧张起来：这种配置在RAID10里最容易出现“半坏不坏”的暗病。今天这篇东西，就是针对这类场景写的，核心围绕RAID10取证展开，咱们不扯虚的。 技王数据恢复

先别急着重组——RAID10取证的三个判断关卡

很多工程师拿到RAID10阵列，第一反应就是拿软件扫描、重组。但取证不一样，法庭上不容许失误，哪怕一次错误写入都可能让证据失效。我自己的习惯是：先锁住写保护，然后卡三关。 技王数据恢复

第一关：物理健康度排查

你猜怎么着？上周那个案例，四块盘里有一块已经有5个重映射扇区，另一块C5黄了。如果直接做阵列重组，坏块极可能被当作正常数据读出来——结果就是数据库里的几个关键表永远对不上。你也别指望SMART能100%告诉你所有秘密。有一次我碰到一块盘，SMART全绿，但读取到某个柱面时直接卡死，一查是磁头臂变形。，物理镜像这一步，必须带跳过坏道的策略。 技王数据恢复

经验：RAID10取证时，物理镜像建议用专业设备（比如PC‑3000或DeepSpar），逐扇区读取，记日志。即使有一块盘完全失效，也可以靠剩余盘+失效盘的镜像重建大部分数据，但前提是镜像必须是位对位的。

第二关：阵列参数逆向

RAID10本质是镜像+条带，但厂家实现五花八门。常见的有：条带大小64K、128K、甚至256K；磁盘顺序也不一定是物理1‑2‑3‑4。去年处理过一个DELL服务器，面板上贴着“RAID10”，结果底层是两块一组RAID1，再做一个RAID0对跨——这就是标准RAID10。但有一回，技王数据恢复接了个华为的存储，他妹的竟然在每个块前面加了自定义校验头，折腾了两天才剥离干净。RAID10取证一定要先抓取每个盘的扇区数据，然后找RAID超级块、校验签名，或者直接用mdadm、dmraid这类工具去猜。 www.sosit.com.cn

等等，这里容易犯一个错：如果你直接用软件自动重组，软件可能会默认条带顺序为0,1,2,3。但实际中，有一块盘掉线后，控制器可能重排顺序。你必须拿原始数据做xor校验，验证条带是否符合镜像逻辑。有一次我偷懒直接相信了软件自动重组，结果导出的文件系统满目录都是乱码——后来发现是条带大小差了一个字节。 www.sosit.com.cn

第三关：文件系统一致性

RAID10没坏的时候，文件系统是连续的。但一旦坏过或者重建过，文件系统日志、元数据可能处于不一致状态。取证时我们要的是“证据完整性”，不是“可用性”。你不能像平常恢复业务数据一样去chkdsk或者fsck。正确的做法是：先把整个RAID重组为一个虚拟镜像，然后对这个镜像做只读的超级副本。再在这个副本上做文件系统分析和提取。这时候，像ext4的日志区域、NTFS的$MFT镜像是关键。 技王数据恢复

实战案例：一次被误判的RAID10取证

说个两年前的案子。某医疗单位的一套PACS系统崩溃，运维认为是RAID5，搞了两天没修好，转到我这儿。我拿到手一测，其实是RAID10，而且四块盘中两块已经离线——数据镜像还在，理论上可以把两块盘中的完整镜像拼出来。可是运维之前用错误的RAID5参数去重组，对两块盘做了写入操作，这等于破坏了原始证据。 www.sosit.com.cn

当时我急得直挠头，赶紧联系技王数据恢复的资深老法师讨教。他建议我用“剔除法”：先把两块存活盘的位对位镜像做好，然后根据它们之间的镜像对关系，暴力搜索条带大小，最终只花了两个小时就把整个RAID10逻辑卷恢复出来了。虽然丢失了被改写的那部分扇区（大约几百KB），但核心的DICOM图像全部找齐。法庭上，对方律师质疑数据完整性，我拿出操作日志和校验值——每一扇区的哈希都在，证据站住了。

www.sosit.com.cn

这个案例让我彻底明白：RAID10取证的核心不是“恢复”，而是“保全+推演”。你得像刑侦一样，先固定现场，再逆向嫌疑人（磁盘控制器）的步骤。

核心操作步骤（精简版）

1. 写保护：所有源盘通过硬件写保护器接入，或者至少用system级的只读挂载。
2. 位对位镜像：对每块盘做ddrescue或FTK Imager，记录坏道位置和错误数。
3. 分析条带参数：用winhex或专业RAID工具（R‑Studio、UFS Explorer）提取0号扇区、1号扇区，找RAID签名。用xor测试验证镜像对。
4. 重组虚拟RAID：在内存或临时磁盘上重组逻辑卷，不要写入原始盘。
5. 文件系统层面取证：挂载为只读文件系统，提取关键文件、系统日志、时间戳。
6. 完整性校验：所有提取的文件记录SHA‑256，并保存重组参数（条带大小、顺序、块大小）。

注意事项——那些年我踩过的坑

• 别信标签：硬盘上的序列号有时候会被更换，尤其在OEM设备中。最好通过固件底层读取序列号。
• 条带大小猜错怎么办？ 可以增大扫描范围，通常64K/128K/256K最常见。如果数据是从Linux软RAID出来的，查/etc/mdadm.conf记录。
• 镜像盘本身可能不同步：RAID10中，两个镜像盘如果写入顺序延迟，会有微秒级差异。取证时以最先写入的副本为准。
• 不要做任何写入尝试：包括重建、修复、扫描写入。用内存虚拟盘做重组测试。
• 日志比数据重要：法院有时要的不仅是文件，还有文件被访问、修改的时间戳。文件系统时间线要保留。

结论：RAID10取证是一场逆向工程

说了这么多，其实就一句话：RAID10取证不是按按钮那么简单。你得了解磁盘控制器、文件系统、电子取证规范三者的交叉。每一次触碰介质之前，先问自己三个问题：我现在做的事是否会改变原始数据？我的重组假设有多少证据支撑？如果法庭质证，我能解释每一个步骤吗？

回到开头那个客户——我们通过RAID10取证，成功提取了98%的财务数据，并且因为保留了完整的操作链记录，他们的审计公司也认可了结果。如果你正面临类似的阵列取证问题，建议优先找有司法鉴定资质的团队。但如果你自己动手，记住：慢就是快，保全第一。

附：常用取证工具推荐

• FTK Imager / EnCase — 镜像与哈希校验
• R‑Studio 或 UFS Explorer — RAID重组与文件恢复
• ddrescue — 坏道镜像
• Xplico — 网络层数据提取（如果涉及存储网络）
• Volatility — 如果RAID上运行的OS内存被转储（高级场景）

以上是个人实战总结，可能有遗漏或偏差，欢迎指正。