[原創(chuàng)]如何快速地分析RAID信息在每塊盤上的記錄方式，如何快速地確定系統(tǒng)的實質(zhì)讀寫操作。WINHEX是一個非常好的軟件，通過其比較和同步功能加上NTFS對稀疏文件的支持，看看怎么實現(xiàn)上述設(shè)想。。。 我們會有這樣的需求：在RAID上的幾塊硬盤上快速對比他們的某些扇區(qū)，以尋找一些特殊信息記錄的位置和方法（如RAID信息）;對比RAID的幾塊硬盤，以分析盤序和塊大小;在一大片相同的數(shù)據(jù)中（如0或FF）尋找個異字節(jié)。這時候你可以試試下面的方法： 在WINHEX的VIEW菜單里有兩個項：synchronize Windows和synchronize &Compare，意為同步窗口和同步比較。
應(yīng)用一： 如果要在WINDOWS環(huán)境下對一個新硬盤進行分區(qū)操作，必須先對其初始化（WIN2000里稱為簽名），這個初始化到底做些什么呢（在硬盤上寫哪些數(shù)據(jù)），假定我們現(xiàn)在想研究這個問題，我們可以這么做（這僅僅是示例） 首先我們用虛擬機或可以虛擬硬盤的一些工具創(chuàng)建一個虛擬硬盤，容量盡量小一些，以便于分析。當然，也可以在物理硬盤上進行分析，但分析時間要久一些，而且，對物理硬盤操作可能會帶來一些數(shù)據(jù)分險。假定我們已經(jīng)創(chuàng)建好了一個大小為110MB的硬盤，可以從WINDOWS的磁盤管理里看到（圖）。 用WINHEX打開這塊硬盤。可看到初始化的一些數(shù)據(jù)，這里我們先將硬盤鏡像為D:\TEST1.IMG，以便于后期比較，方法可用WINHEX或其他工具實現(xiàn)（見相關(guān)文章）。然后在磁盤管理器當中對案例硬盤進行初始化，完成后如下圖： 接著在WINHEX中同時打開案例硬盤和D:\TEST1.IMG.如下圖（左上可看到打開的兩個對象的標簽）： 確保兩個對象的指針位置均指向0字節(jié)（打開后不做任何操作指針即可），然后選中VIEW菜單下的“synchronize &Compare”，如下圖： 字節(jié)用黑色標注意味著內(nèi)容的不同，點擊活動對象上的左右按鈕，可自當前位置向上/向下查找最近的不同處。此例中，自0扇區(qū)最后的不同向下查找時，即彈出下面的對話框，意味著后面的字節(jié)全無異處。 根據(jù)上述分析可得出結(jié)論：磁盤管理里的初始化實際只對硬盤的0扇區(qū)（即MBR扇區(qū)）進行寫操作。繼續(xù)針對0扇區(qū)進行分析則可知：初始化主要完成對硬盤寫入唯一ID的功能，但同時會重寫MBR引導(dǎo)代碼、"55aa"有效結(jié)束標志，其作用類似于FDISK/MBR或FIXMBR。初始化可用于MBR引導(dǎo)代碼損壞、遭遇引導(dǎo)性病毒等情況的處理。同時也可知，對硬盤不可貿(mào)然初始化（尤其是對磁盤陣列里的硬盤單獨分析時），若非得初始化，則可提前備份其0扇區(qū)以備萬一。 應(yīng)用二： 對于RAID磁盤陣列的數(shù)據(jù)恢復(fù)，其復(fù)雜性通常在于如何重建RAID的結(jié)構(gòu)信息，如盤序、塊大小、校驗方式、RAID信息本身占用的空間等。在分析這些信息的時候，常常需要我們不斷比較、分析一組條帶的數(shù)據(jù)表現(xiàn)，這時候WINHEX的比較功能就能派上用場了。 待續(xù)。。。

本文轉(zhuǎn)自 水之真諦 51CTO博客，原文鏈接：http://blog.51cto.com/zhangyu/33879，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的WINHEX的比较、同步功能加上NTFS对稀疏文件的支持的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。