Наука в мегаполисе
Электронный научный журнал для обучающихся города Москвы
SCIENCE IN A MEGAPOLIS

Свидетельство о регистрации СМИсредства массовой информации

Забыли логин / пароль?

Восстановление структуры RAID-массива как типовая задача судебной компьютерно-технической экспертизы: проблематика идентификации типа и вида массива

Выпуск: №5(87) Исследования молодых ученых
Раздел: Юридические науки
Опубликовано:
Код уникальной десятичной классификации: 343.983
студент 4 курса Московского государственного технического университета (МГТУ) им. Н.Э. Баумана, г. Москва, e-mail: alfervika@yandex.ru
Научный руководитель: Травкин Кирилл Александрович
старший преподаватель кафедры Безопасность в цифровом мире Московского государственного технического университета (МГТУ) им. Н.Э. Баумана
-

Аннотация. В статье рассматривается проблема восстановления структуры RAID-массива как типовая задача судебной компьютерно-технической экспертизы. Анализируются основные уровни RAID, особенности программной и аппаратной реализации, а также типичные сложности, возникающие при идентификации типа и вида массива в условиях отсутствия доступа к оригинальному контроллеру. Предлагается подход к построению методики восстановления, основанной на анализе низкоуровневых признаков и метаданных.

Ключевые слова: судебная компьютерно-техническая экспертиза, RAID-массив, аппаратный RAID, программный RAID, восстановление структуры RAID-массива.

В современном мире, где компьютерные технологии являются неотъемлемой частью повседневной человеческой жизни, особо остро встаёт вопрос о безопасности их использования и о возможности вернуть потерянные данные в случае их кражи, несанкционированного удаления и так далее. Сейчас технологии хранения данных, обеспечивающие повышенную отказоустойчивость и производительность, нашли широчайшее применение, закономерно приводя к увеличению числа инцидентов, связанных с их выходом из строя, что, в свою очередь, формирует потребность в их исследовании. Одной из таких технологий являются RAID-массивы, которые перестали быть прерогативой центров обработки данных и активно используются в самых различных сферах: от корпоративных серверов и мощных рабочих станций для обработки данных крупных компаний до игровых персональных компьютеров, домашних медиа-серверов и личных сетевых хранилищ.

В контексте судебной компьютерно-технической экспертизы восстановление структуры RAID-массива, как правило, не является самостоятельной и конечной целью исследования. Основная задача экспертизы чаще заключается в исследовании информации, хранящейся на таких массивах [4]. Однако, восстановление логической целостности массива – это важная прикладная задача, решаемая на подготовительном этапе многих экспертных исследований. Без корректной сборки виртуального образа массива последующий анализ файловой системы и пользовательских данных становится невозможным.

RAID (англ. Redundant Array of Independent Disks – избыточный массив независимых дисков) – технология виртуализации данных для объединения нескольких физических дисковых устройств в логический модуль для повышения отказоустойчивости и производительности [2].

Конфигурация дискового пространства зависит от определённых алгоритмов, с помощью которых будет собран RAID-массив. Эти алгоритмы называются уровнями RAID.

Выделяют три основных уровня RAID:

  • RAID0;
  • RAID1;
  • RAID5.

RAID0 (Stripes) – уровень RAID, который подразумевает чередование всех физических накопителей, соединяя их в единое логическое дисковое пространство. В процессе записи поток информации подвергается сегментации на фрагменты заданного размера, которые затем могут обрабатываться одновременно несколькими накопителями. На этом уровне RAID отсутствует избыточность, а выход из строя одного диска может привести к потере всех данных в виртуальном диске. Как объект СКТЭ данный носитель информации может вызвать определенные трудности в вопросе получения доступа к содержимому файловой системы, в случае невозможности восстановления его структуры.

RAID1 (Mirror) – уровень RAID, называемый зеркальным, создает идентичные копии данных на двух и более дисках. Главное преимущество RAID1 заключается в высокой отказоустойчивости – массив будет работать, если хотя бы один из двух и более дисков будет функционировать. Важно отметить, что данная конфигурация предоставляет более широкий спектр возможностей по восстановлению удаленной информации при решении прикладных задач компьютерно-технической экспертизы.

RAID5 – уровень RAID, при котором поток данных разбивается на блоки фиксированного размера, которые поочерёдно записываются на разные диски массива. Для каждой логической строки блоков вычисляется специальный блок чётности. Он представляет собой результат математической операции "исключающее ИЛИ", применяемой ко всем блокам данных в этой строке. Блоки чётности не хранятся на каком-то одном выделенном диске. Они равномерно распределяются по всем накопителям массива. Эта особенность при восстановлении структуры данного уровня RAID является ключевой сложностью при проведении экспертизы. Стоит также упомянуть RAID6 – уровень RAID, который является развитием RAID5 и предназначен для обеспечения повышенной отказоустойчивости за счёт использования двойной чётности.

Помимо вышеперечисленных уровней RAID существуют также RAID10 и RAID01, которые являются объединением уровней 0 и 1. В зависимости от того, какая цифра идёт в начале, первоочерёдно будет выполняться то или иное действие при сборке массива. При RAID10 сначала будет происходить процесс зеркалирования данных, а затем – чередующееся записывание их на логический накопитель. В случае RAID01 действия будут в противоположном порядке: сначала чередование данных, потом их зеркалирование.

Существуют два основных вида RAID-массивов: аппаратный и программный [4].

Аппаратный RAID (см. рисунок 1) строится с помощью специального устройства, которое управляет группой накопителей и представляет их компьютеру как логические устройства – контроллера массива дисков (далее – RAID-контроллер).

Рис. 1. Аппаратный RAID-массив, собранный посредством использования RAID-контроллера DELL PERC H830

RAID-контроллеры делятся на:

  • внутренние – выполняются в виде плат расширения, устанавливаемых в слоты шины PCIe материнской платы сервера или рабочей станции;
  • внешние – представляют собой самостоятельные устройства, размещаемые за пределами сервера и подключаемые к нему через интерфейсные кабели [1].

Программный RAID-массив представляет собой реализацию технологии RAID, при которой все операции по управлению дисковым пространством, распределению данных и обеспечению отказоустойчивости выполняются центральным процессором и драйверами операционной системы, без использования специализированного аппаратного контроллера.

В отличие от аппаратного RAID, где массив представляется системе как отдельное устройство, при программной реализации операционная система напрямую взаимодействует с каждым физическим накопителем. Это означает, что ядро операционной системы берёт на себя функции по трансляции запросов от файловой системы к конкретным дискам в соответствии с логикой выбранного уровня RAID.

Активное внедрение технологий виртуализации дискового пространства в корпоративных и домашних системах хранения данных привело к тому, что в практике судебной компьютерно-технической экспертизы всё чаще фигурируют объекты, организованные в RAID-массивы. Однако, как подчёркивают некоторые практики, при производстве экспертиз, связанных с RAID-массивами, специалисты сталкиваются с рядом специфических трудностей [3, с. 108]:

  1. RAID-массивы характеризуются значительной ёмкостью, нередко превышающей терабайтные объёмы, что делает полное копирование каждого диска длительным и ресурсозатратным процессом, не всегда допустимым с учётом требований оперативности экспертного исследования.
  2. В ходе совершения противоправных деяний злоумышленники нередко предпринимают целенаправленные действия по дезорганизации RAID-структуры: нарушение порядка дисков, несанкционированное отключение питания, «горячее» извлечение накопителей и иные деструктивные манипуляции. Такое поведение приводит к утрате конфигурационной информации, хранящейся в контроллере, и делает невозможным штатное распознавание массива операционной системой.
  3. Недостаточный уровень подготовки сотрудников, производящих изъятие данного объекта экспертизы, часто приводит к потере данных из-за того, что в момент выемки оборудования не фиксируется порядок расположения дисков, либо допускаются ошибочные действия, повреждающие служебные области массивов.

Данные обстоятельства формируют типовую следственную ситуацию, в которой эксперт оказывается перед необходимостью восстановления структуры RAID-массива при отсутствии доступа к оригинальному контроллеру и при наличии лишь набора физических накопителей.

При исследовании программных RAID-массивов, в особенности реализованных средствами ОС Linux, эксперт сталкивается со специфической проблемой – множественностью форматов хранения конфигурационной информации. Для эксперта указанное разнообразие означает, что отсутствует единое «ожидаемое» место размещения служебной информации. В зависимости от версии метаданных, использовавшейся при создании массива, конфигурация может находиться в начале, в середине или в конце дискового пространства. Эксперт вынужден последовательно проверять все возможные варианты, что требует временных затрат и несёт риски пропуска информации.

Таким образом, существует объективная потребность в разработке верифицируемой методики, позволяющей эксперту на основе анализа низкоуровневых данных, считанных непосредственно с физических накопителей, достоверно идентифицировать тип и уровень RAID-массива, определить его ключевые параметры и осуществить виртуальную реконструкцию для последующего доступа к файловой системе.

Несмотря на многообразие аппаратных и программных реализаций RAID, каждый тип массива оставляет в служебных областях дисков (метаданных) либо в самом характере распределения данных объективно обнаруживаемые признаки, позволяющие идентифицировать его параметры (см. рисунок 2).

Рис. 2. Шестнадцатеричный вид данных, обнаруженных на НЖМД, входящего в состав RAID-массива, при помощи ПО «WinHex»

В исследовании «Digital Forensic Framework for RAID Systems» выделяются три базовые категории экспертных ситуаций в зависимости от сохранности исходных данных [5]:

  • присутствуют как диски-члены массива, так и конфигурационная информация RAID;
  • диски-члены массива присутствуют в полном составе, но конфигурационная информация утрачена;
  • конфигурационная информация сохранена, но часть дисков отсутствует.

Как отмечается в работе, для каждой из этих ситуаций требуются различные методические подходы. В случае, когда конфигурационная информация утрачена, необходимо применять методы, основанные на вычислении блочной энтропии и последующем вероятностном определении параметров.

Аналогичный подход можно применить в разработке методики реконструкции как активных, так и удалённых виртуальных дисков на основе анализа метаданных Intel и AMD. Ключевыми параметрами, подлежащими определению, являются порядок физических дисков, начальное и конечное смещения на каждом диске, а также размер страйпа.

Таким образом, можно предположить, что путём систематизации и формализации известных признаков, характерных для различных типов RAID-реализаций, возможно построение алгоритмической модели. Её основа будет состоять из следующих этапов:

  1. Этап идентификации типа реализации, предполагающий обнаружение на каждом из исследуемых накопителей сигнатур, позволяющих отнести массив либо к аппаратному виду, либо к программному.
  2. Этап определения метаданных, применяемый для определения порядка дисков и алгоритма чётности.
  3. Этап верификации, то есть проверки корректности восстановленных параметров путём сборки виртуального образа массива и попытки монтирования файловой системы в режиме «read-only».

Таким образом, восстановление структуры RAID-массива является типовой задачей судебной компьютерно-технической экспертизы, обусловленной повсеместным распространением данной технологии в корпоративных и домашних системах хранения данных. Основная проблематика идентификации типа и вида массива связана с тремя ключевыми факторами: многообразием уровней RAID, различием между программной и аппаратной реализациями, а также типичной следственной ситуацией, при которой эксперт располагает лишь набором физических накопителей без доступа к оригинальному контроллеру. Решение указанной проблемы видится в разработке методики, основанной на анализе низкоуровневых признаков, позволяющей достоверно определить параметры массива и осуществить его виртуальную реконструкцию для последующего доступа к файловой системе.

Список литературы:

  1. Всё, что вы хотели узнать о RAID-контроллерах, но лень было искать // Хабр (сайт). (дата обращения: 15.04.2026).
  2. RAID-массивы на NVMe // Хабр (сайт). (дата обращения: 15.04.2026).
  3. Peter M. Chen, Edward K. Lee, Garth A. Gibson, Randy H. Katz, David A. Patterson RAID: high-performance, reliable secondary storage // 2-е изд. ACM Computing Surveys (CSUR), 1994. 185 с.
  4. Song Jiabin, Zhu Wenbo, Shi Xiangdong, Wang Haitao, Wang Dan, Wang Chengyang Application and Practice of Involved Website Reconstruction Based on RAID Recombination // Forensic Science and Technology, 2025. №50.: 107-110.
  5. Woosung Yun, Jeuk Kang, Sangjin Lee, Jungheum Park Digital forensic approaches to Intel and AMD firmware RAID systems // Forensic Science International: Digital Investigation, 2025. №54. (дата обращения: 15.04.2026).

RAID array structure recovery as a typical task of digital forensic examination: problems of identifying the type and kind of array

Alferenkova V.S.,
student of 4 course of the Bauman Moscow State Technical University, Moscow

Research supervisor:
Travkin Kirill Alexandrovich,
Senior Lecturer, Department of Security in the Digital World, Bauman Moscow State Technical University

Abstract. The article considers the problem of restoring the structure of a RAID array as a typical task of forensic computer-technical expertise. The main RAID levels, software and hardware implementation features, as well as typical difficulties encountered in identifying the type and type of array in the absence of access to the original controller are analyzed. An approach to the construction of a recovery technique based on the analysis of low-level features and metadata is proposed.
Keywords: digital forensic, RAID array, hardware RAID, software RAID, restoration of the RAID array structure.

References:

  1. Everything you wanted to know about RAID controllers, but was too lazy to look // Habr (website). (date of the address: 15.04.2026).
  2. RAID arrays on NVMe // Habr (website). (date of the address: 15.04.2026).
  3. Peter M. Chen, Edward K. Lee, Garth A. Gibson, Randy H. Katz, David A. Patterson RAID: high-performance, reliable secondary storage // 2nd Edition. ACM Computing Surveys (CSUR), 1994. 185 p.
  4. Song Jiabin, Zhu Wenbo, Shi Xiangdong, Wang Haitao, Wang Dan, Wang Chengyang Application and Practice of Involved Website Reconstruction Based on RAID Recombination // Forensic Science and Technology, 2025. №50.: 107-110.
  5. Woosung Yun, Jeuk Kang, Sangjin Lee, Jungheum Park Digital forensic approaches to Intel and AMD firmware RAID systems // Forensic Science International: Digital Investigation, 2025. №54. (date of the address: 15.04.2026).