删除了ThawSpace分区与Faronics深冻结

什么是ThawSpace?

Faronics的深度冻结软件会对用户的机器进行快照,并在那个时间点“冻结”它。每次机器重新启动时,它都会恢复到冻结状态——除了用户创建的文件之外,自快照以来对磁盘所做的更改都不会被保留下来。用户在使用Faronics Deep Freeze时创建或修改的任何文件,如果他们想为下次重启机器时保存,必须存储在“ThawSpace”中。当机器重新启动并回滚到冻结状态时,仅这个ThawSpace不受影响。

你是否在使用Deep Freeze并需要帮助获取重要数据?

介绍虚拟化

在运行Faronics Deep Freeze的机器上,ThawSpace是一个虚拟分区,充当用户关键文件的容器。虚拟分区只是硬盘的映像。您可以制作CD、DVD、软盘或任何其他类型的数据存储设备的虚拟映像。这张图片在一个巨大的文件中包含了设备的所有内容。例如,CD-ROM可以包含在ISO文件中。然后,只要你有正确的工具,你就可以在你的计算机上播放ISO。

虚拟硬盘,或VHDs的工作原理相同。对于计算机的操作系统和最终用户来说,虚拟分区的行为与物理磁盘完全相同。在实践中,这与在你的硬盘上创建一个新的分区,或插入USB闪存驱动器或外部硬盘驱动器到你的计算机,看到一个E:或G:驱动器弹出没有太大的不同。但是在内部,这个分区的源不是任何物理设备,而是一个巨大的文件。

你甚至可以在虚拟磁盘上安装一个操作系统,然后从它启动你的机器,给自己一个完整的虚拟机“玩。”或者你可以像Faronics那样使用他们的Deep Freeze软件,让虚拟磁盘充当文件的容器。

虚拟化有一个不幸的特点,可能导致您必须将驱动器发送到我们的数据恢复实验室。当你进入Windows磁盘管理器“卸载”或卸载虚拟硬盘时,弹出的Windows对话框会给你一个选项删除实际的VHD或VMDK文件。

虚拟硬盘提示符-解冻空间
由于没有取消复选框,IT技术人员最终删除了一个ThawSpace虚拟分区。

同样,当Faronics Deep Freeze从客户端工作站卸载时,卸载向导提供了删除ThawSpace文件的选项。在深度冻结卸载向导中,删除虚拟分区文件的选项恰好是默认选中的。负责的IT技术员直到在四台机器上卸载了软件后才发现。在某些情况下,您可能希望在使用完虚拟硬盘后将其全部删除。不过,这次不是这样的场合。

欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware案例研究:

在这个数据恢复案例中,我们的客户Faronics在多个工作站安装了深度冻结软件。在从四个工作站卸载Deep Freeze软件时,他们IT部门的某个人意外地删除了该软件创建的ThawSpace分区。删除的ThawSpace分区包含用户创建的数据。当受影响的用户再次坐在他们的办公桌前时,他们的关键文件都不见了。

驱动能力: 4个希捷笔记本硬盘(3个250GB硬盘和1个500GB硬盘)
操作系统:窗户
虚拟化软件:Faronics深度冷冻企业
情况:删除四台计算机上的ThawSpace虚拟分区
数据恢复:已删除的ThawSpace分区内容
二进制文件读取: 100%
情况下评级: 6

恢复已删除的ThawSpace

格雷格Andrzejewski,我们的研发总监,处理了从删除的ThawSpace分区恢复数据的任务。恢复虚拟分区本身的过程与删除文件的典型数据恢复案例相同。

当一个文件从硬盘上删除时,它不会永远消失——至少一开始不会。典型计算机的硬盘驱动器保存着驱动器上哪些扇区正在使用,哪些扇区没有使用的记录。在为Windows格式化的NTFS硬盘驱动器中,此记录称为位图.当文件被删除或回收站清空时,位图会将包含该文件的集群标记为“unused”,而不是“used”。该文件仍然在磁盘上,尽管无法通过正常方式访问。

在典型的数据恢复情况下硬盘上的文件被删除,我们的逻辑数据恢复工程师首先对驱动器做一个100%的映像。然后,逻辑数据恢复技术人员查看Bitmap显示的所有未被使用的集群。在这个案子中,格雷格想看看客户受影响的硬盘上是否有vhd形状的大空点。

在这种情况下,这些删除的ThawSpace VHD文件的数据恢复过程需要我们的工程师进行与典型删除文件数据恢复案例相同类型的分析,但有一个额外的变化。一旦删除的虚拟分区被恢复,下一步就是查看它们的内部,以评估数据的状况。

从一个删除的ThawSpaces虚拟硬盘中恢复的文件的样本,因为它们在我们的安全上出现在客户端
从一个删除的ThawSpaces虚拟硬盘中恢复的文件的样本,因为它们在我们的安全上出现在客户端

一项工作逻辑数据恢复工程师不仅要恢复由于删除的文件或重新格式化的硬盘驱动器而丢失的数据,而且要评估是否发生了任何数据损坏,如果发生了,损坏的程度是多少。

一旦硬盘驱动器的一部分不再被标记为已使用,该空间将成为任何写入驱动器的新数据的空闲游戏。在删除这些ThawSpaces的瞬间,硬盘说,“哦,太好了!我现在有好几百gb的空闲空间了!”但是,组成这些虚拟分区的实际数据仍然在磁盘上。自从删除了ThawSpaces之后,写入驱动器的任何数据都可能覆盖虚拟分区的部分,从而影响其中包含的文件和文件系统。

在定位和隔离虚拟分区之后,Greg可以将它们挂载到我们的一台数据恢复机器上,并对它们进行梳理,以检查数据的完整性,就像它们是真实的物理(完全健康的)硬盘驱动器一样。如果文件的一部分被覆盖,文件可能会部分恢复,但部分甚至完全失去功能。幸运的是,从客户端删除的ThawSpace虚拟分区中恢复的数据几乎没有损坏。

我们成功地从两个客户的硬盘中恢复了Faronics ThawSpaces的大量内容。两个硬盘驱动器的thawspace充满了用户创建的数据。至于另外两个驱动器,它们的ThawSpaces似乎只包含很少的数据。我们不能完全确定这是因为大量被删除的数据被覆盖了,还是因为这两个thawspace一开始就没有多大用处。

虽然我们在10分表中将此情况评为6,但客户对删除的ThawSpace虚拟分区的逻辑数据恢复结果非常满意。对我们的委托人来说,这个案子非常成功。

默认的图片
将Ascenzo
Will是Gillware Data Recovery和Digital Forensics的首席博主、文案和文案编辑欧宝娱乐百科张信哲代言博彩 欧宝娱乐,也是反对滥用无辜分号的坚定倡导者。
文章:218

一个评论

留下一个回复

Baidu