针对电子数据取证中RAID5磁盘阵列重组问题,提出一种基于$UpCase元文件的RAID5磁盘阵列重组方法。公安机关在办理涉服务器案件时,经常会遇到犯罪嫌疑人蓄意破坏、异常关闭服务器等情况,若服务器采用RAID5磁盘阵列存储数据,这些破坏行为会造成阵列配置信息丢失,公安机关在进行取证前必须对磁盘阵列进行数据重组。介绍了在对未知磁盘序列的RAID5磁盘阵列进行取证分析时,通过$UpCase元文件的特点,确定磁盘阵列中数据条带大小,并归纳总结了利用MBR、DBR及条带大小等已知信息计算$MFT元文件在成员盘中起始位置的方法,通过数据块与校验块的位置确定磁盘次序,实现磁盘重组,进而读取数据完成取证分析。该方法通过$UpCase元文件判断数据块信息,再利用计算结果快速定位$MFT元文件,与现有方法相比,能够大幅度节省全盘搜索时间,提升数据重组效率。

• 单位
  新疆警察学院; 中国刑事警察学院; 公安部第三研究所