Raid 5 divide los datos en los discos, pero los bloques utilizados para la división suelen ser bastante grandes. Como mínimo, serán sectores completos, pero normalmente serán mucho más grandes que eso. Por ejemplo, madm tiene por defecto fragmentos de medio megabyte. Incluso un sector es lo suficientemente grande como para encontrar fragmentos de texto reconocibles y, con los tamaños de fragmento típicos, es muy probable que haya archivos reconocibles completos en las unidades individuales de la matriz.
Con el fin de probar esto, apunté una copia de Foremost a un disco que anteriormente formaba parte de una matriz RAID-6 (disponible gracias a Seagate). La matriz tenía un tamaño de fragmento de 512 KB, por lo que, en teoría, cualquier archivo de 512 KB o menos está presente intacto. Los datos de la matriz son de casi 25 años de uso de computadoras, incluidas las imágenes de disco de todas las computadoras que he tenido.
La cantidad de datos que recuperé fue, francamente, aterradora. Documentos de Word que contienen tareas de la escuela secundaria. Archivos de datos de juegos que desinstalé hace décadas. Archivos DLL de cien versiones diferentes de WINE. Imágenes adjuntas a publicaciones de Usenet no leídas. Diez mil páginas web en caché. Al agregar una regla de extracción personalizada, se encontraron tres claves privadas SSL y una clave SSH.
Otra cosa a tener en cuenta es que no siempre es necesario extraer el archivo completo para obtener información comprometedora. Por ejemplo, los primeros 512k de un PDF pueden brindarle la tabla de contenido, los primeros 512k de un BMP pueden brindarle una leyenda (BMP almacena sus datos de imagen al revés) y los primeros 512k de un JPEG pueden brindarle un miniatura. Los archivos MPEG y MP3 están diseñados para que se puedan transmitir, por lo que incluso una parte del medio puede proporcionar datos útiles a alguien.
¿Qué tan codificados están los datos en un disco RAID 5? No lo suficientemente revuelto.
Parece que la gente puede estar confundiendo el tamaño del sector de la unidad (normalmente de 512 B a 4 KB) con el tamaño de banda de RAID 5 (normalmente de 16 KB a 128 KB, a veces más grande). El tamaño de la franja RAID es el tamaño lógico grabable para la matriz, por lo que cada parte de la franja en cada unidad contendrá esa cantidad de datos. Si un archivo completo cabe en el tamaño de la franja, es probable que todo sea visible como un bloque contiguo en la unidad de eliminación.