[原創]如何快速地分析RAID信息在每塊盤上的記錄方式，如何快速地確定系統的實質讀寫操作。WINHEX是一個非常好的軟件，通過其比較和同步功能加上NTFS對稀疏文件的支持，看看怎么實現上述設想。。。

我們會有這樣的需求：在RAID上的幾塊硬盤上快速對比他們的某些扇區，以尋找一些特殊信息記錄的位置和方法（如RAID信息）;對比RAID的幾塊硬盤，以分析盤序和塊大小;在一大片相同的數據中（如0或FF）尋找個異字節。這時候你可以試試下面的方法：

在WINHEX的VIEW菜單里有兩個項：synchronize Windows和synchronize &Compare，意為同步窗口和同步比較。

應用一：

如果要在WINDOWS環境下對一個新硬盤進行分區操作，必須先對其初始化（WIN2000里稱為簽名），這個初始化到底做些什么呢（在硬盤上寫哪些數據），假定我們現在想研究這個問題，我們可以這么做（這僅僅是示例）

首先我們用虛擬機或可以虛擬硬盤的一些工具創建一個虛擬硬盤，容量盡量小一些，以便于分析。當然，也可以在物理硬盤上進行分析，但分析時間要久一些，而且，對物理硬盤操作可能會帶來一些數據分險。假定我們已經創建好了一個大小為110MB的硬盤，可以從WINDOWS的磁盤管理里看到（圖）。

用WINHEX打開這塊硬盤。可看到初始化的一些數據，這里我們先將硬盤鏡像為D:\TEST1.IMG，以便于后期比較，方法可用WINHEX或其他工具實現（見相關文章）。然后在磁盤管理器當中對案例硬盤進行初始化，完成后如下圖：

接著在WINHEX中同時打開案例硬盤和D:\TEST1.IMG.如下圖（左上可看到打開的兩個對象的標簽）：

確保兩個對象的指針位置均指向0字節（打開后不做任何操作指針即可），然后選中VIEW菜單下的“synchronize &Compare”，如下圖：

字節用黑色標注意味著內容的不同，點擊活動對象上的左右按鈕，可自當前位置向上/向下查找最近的不同處。此例中，自0扇區最后的不同向下查找時，即彈出下面的對話框，意味著后面的字節全無異處。

根據上述分析可得出結論：磁盤管理里的初始化實際只對硬盤的0扇區（即MBR扇區）進行寫操作。繼續針對0扇區進行分析則可知：初始化主要完成對硬盤寫入唯一ID的功能，但同時會重寫MBR引導代碼、"55aa"有效結束標志，其作用類似于FDISK/MBR或FIXMBR。初始化可用于MBR引導代碼損壞、遭遇引導性病毒等情況的處理。同時也可知，對硬盤不可貿然初始化（尤其是對磁盤陣列里的硬盤單獨分析時），若非得初始化，則可提前備份其0扇區以備萬一。

應用二：

對于RAID磁盤陣列的數據恢復，其復雜性通常在于如何重建RAID的結構信息，如盤序、塊大小、校驗方式、RAID信息本身占用的空間等。在分析這些信息的時候，常常需要我們不斷比較、分析一組條帶的數據表現，這時候WINHEX的比較功能就能派上用場了。

待續。。。