Raid 5 跨磁盘条带化数据，但用于条带化的块通常非常大。至少它们将是整个扇区，但通常它们会比这大得多。例如 madm 默认为半兆字节的块。即使一个扇区足够大，您也可能会找到可识别的文本块，并且对于典型的块大小，整个可识别文件很可能会出现在阵列中的各个驱动器上。

为了实际测试这一点，我将Foremost的副本指向以前属于 RAID-6 阵列的磁盘（感谢 Seagate 提供）。该数组的块大小为 512KB，因此理论上任何 512KB 或更小的文件都完好无损。阵列上的数据来自近 25 年的计算机使用，包括我拥有的每台计算机的磁盘映像。

坦率地说，我恢复的数据量令人恐惧。包含高中家庭作业的 Word 文档。几十年前我卸载的游戏的数据文件。来自一百个不同版本的 WINE 的 DLL 文件。图片附加到未读的 Usenet 帖子。一万个缓存的网页。添加自定义提取规则发现三个 SSL 私钥和一个 SSH 密钥。

另一件需要注意的事情是，您并不总是需要提取整个文件来获取妥协信息。例如，PDF 的前 512k 可以为您提供目录，BMP 的前 512k 可以为您提供标题（BMP 将其图像数据倒置存储），JPEG 的前 512k 可以为您提供缩略图。MPEG 和 MP3 文件被设计为可流式传输，因此即使是中间的一个块也可以为某人提供有用的数据。

RAID 5 磁盘上的数据有多混乱？不够炒。

听起来人们可能会将驱动器扇区大小（通常为 512B 到 4KB）与 RAID 5 条带大小（通常为 16KB 到 128KB，有时更大）混淆。RAID 条带大小是阵列的逻辑可写大小，因此每个驱动器上条带的每个部分都将包含那么多数据。如果整个文件适合条带大小，则它很可能在删除驱动器上都显示为一个连续的块。

RAID 5 阵列的单个成员将由普通块和奇偶校验块组成，例如 75% 普通块和 25% 奇偶校验用于 4 成员阵列。可以在普通视图中读取普通块；这些块没有乱码，您无需参考其他成员即可理解它。这些块的大小通常为 16KB 到 512KB，尽管使用 RAID-5 这通常为 128KB 或以下，以最大限度地减少写入放大。有足够的空间来读取出现在这些普通块中的敏感数据。

每个奇偶校验块包含从其他驱动器上的三个普通块生成的数据，这样如果这三个其他驱动器（在四成员阵列中）中的任何一个丢失，则可以通过对奇偶校验应用算法来恢复信息块和来自其他剩余两个驱动器的块。奇偶校验块中的数据没有意义，并且无法自行恢复，除非您可以猜到它与之结合的三个其他块中的两个的内容 - 如果三个块中的两个为空，这在某些情况下可能很容易（零）或包含可预测的数据。因此，虽然它不是加密安全的，但如果没有生成它的其他三个块中的两个，奇偶校验块中的信息通常是无用的。

RAID 4 的设计与 RAID 5 相似，只是所有奇偶校验块都存储在一个驱动器上，因此如果您只有该驱动器，则无法轻松恢复数据。RAID 5 对此进行了修改，以在成员之间平均分配奇偶校验块，这意味着任何驱动器本身都将包含许多您可以从中恢复数据的普通块。