[原创]如何快速地分析RAID信息在每块盘上的记录方式，如何快速地确定系统的实质读写操作。WINHEX是一个非常好的软件，通过其比较和同步功能加上NTFS对稀疏文件的支持，看看怎么实现上述设想。。。

我们会有这样的需求：在RAID上的几块硬盘上快速对比他们的某些扇区，以寻找一些特殊信息记录的位置和方法（如RAID信息）;对比RAID的几块硬盘，以分析盘序和块大小;在一大片相同的数据中（如0或FF）寻找个异字节。这时候你可以试试下面的方法：

在WINHEX的VIEW菜单里有两个项：synchronize Windows和synchronize &Compare，意为同步窗口和同步比较。

应用一：

如果要在WINDOWS环境下对一个新硬盘进行分区操作，必须先对其初始化（WIN2000里称为签名），这个初始化到底做些什么呢（在硬盘上写哪些数据），假定我们现在想研究这个问题，我们可以这么做（这仅仅是示例）

首先我们用虚拟机或可以虚拟硬盘的一些工具创建一个虚拟硬盘，容量尽量小一些，以便于分析。当然，也可以在物理硬盘上进行分析，但分析时间要久一些，而且，对物理硬盘操作可能会带来一些数据分险。假定我们已经创建好了一个大小为110MB的硬盘，可以从WINDOWS的磁盘管理里看到（图）。

用WINHEX打开这块硬盘。可看到初始化的一些数据，这里我们先将硬盘镜像为D:\TEST1.IMG，以便于后期比较，方法可用WINHEX或其他工具实现（见相关文章）。然后在磁盘管理器当中对案例硬盘进行初始化，完成后如下图：

接着在WINHEX中同时打开案例硬盘和D:\TEST1.IMG.如下图（左上可看到打开的两个对象的标签）：

确保两个对象的指针位置均指向0字节（打开后不做任何操作指针即可），然后选中VIEW菜单下的“synchronize &Compare”，如下图：

字节用黑色标注意味着内容的不同，点击活动对象上的左右按钮，可自当前位置向上/向下查找最近的不同处。此例中，自0扇区最后的不同向下查找时，即弹出下面的对话框，意味着后面的字节全无异处。

根据上述分析可得出结论：磁盘管理里的初始化实际只对硬盘的0扇区（即MBR扇区）进行写操作。继续针对0扇区进行分析则可知：初始化主要完成对硬盘写入唯一ID的功能，但同时会重写MBR引导代码、"55aa"有效结束标志，其作用类似于FDISK/MBR或FIXMBR。初始化可用于MBR引导代码损坏、遭遇引导性病毒等情况的处理。同时也可知，对硬盘不可贸然初始化（尤其是对磁盘阵列里的硬盘单独分析时），若非得初始化，则可提前备份其0扇区以备万一。

应用二：

对于RAID磁盘阵列的数据恢复，其复杂性通常在于如何重建RAID的结构信息，如盘序、块大小、校验方式、RAID信息本身占用的空间等。在分析这些信息的时候，常常需要我们不断比较、分析一组条带的数据表现，这时候WINHEX的比较功能就能派上用场了。

待续。。。