用Faronics Deep Freeze删除ThawSpace分区

ThawSpace是什么?

Faronics深度冷冻软件对用户的机器进行快照,在那个时间点“冻结”它。每次计算机重新启动时,它都会恢复到冻结状态——自快照拍摄以来对磁盘所做的任何更改都不会被保留,用户创建的文件除外。用户在使用Faronics Deep Freeze时创建或修改的任何文件都必须存储在“ThawSpace”中,以便下次重新启动机器时保存。当机器重新启动并回滚到冻结状态时,只有这个ThawSpace不受影响。

您正在使用深度冻结,需要帮助获取重要数据吗?

虚拟化简介

在运行Faronics Deep Freeze的机器上,ThawSpace是一个虚拟分区,充当用户关键文件的容器。虚拟分区就是硬盘的映像。您可以制作CD、DVD、软盘或任何其他类型的数据存储设备的虚拟映像。该图像将设备的所有内容包含在一个巨大的文件中。例如,光盘可以包含在ISO文件中。只要你有合适的工具,你就可以在你的电脑上播放ISO文件。

虚拟硬盘vhd的工作原理是一样的。对于计算机的操作系统和最终用户来说,虚拟分区的行为与物理磁盘完全相同。在实践中,这与在硬盘驱动器上建立一个新分区,或将USB闪存驱动器或外部硬盘插入计算机,然后看到一个E:\或G:\驱动器弹出没有太大区别。但实际上,该分区的源并不是任何物理设备,而是一个巨大的文件。

您甚至可以将操作系统安装到虚拟磁盘上,并从中启动您的计算机,从而为自己提供一个完整的“虚拟机来玩。或者你也可以像Faronics那样用他们的Deep Freeze软件,让虚拟磁盘充当你文件的容器。

虚拟化有一个不幸的怪癖,可能导致您不得不将您的驱动器发送到我们的数据恢复实验室。当你进入Windows磁盘管理器“分离”或卸载虚拟硬盘时,产生的Windows对话框给你一个选项删除实际的VHD或VMDK文件。

虚拟硬盘提示- ThawSpaces
由于没有取消选中这个框,IT技术人员最终删除了一个ThawSpace虚拟分区。

同样,当Faronics Deep Freeze从客户端工作站卸载时,卸载向导提供了删除ThawSpace文件的选项。在Deep Freeze卸载向导中,删除这些虚拟分区文件的选项在默认情况下是选中的。负责的IT技术人员直到从四台机器上卸载了软件后才注意到。在某些情况下,您可能希望在使用完一个虚拟硬盘后将其全部删除。然而,这不是一个这样的场合。

欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware案例研究:

在这个数据恢复案例中,我们的客户Faronics深冻软件安装在几个工作站上。当从四个工作台上卸载Deep Freeze软件时,他们IT部门的某个人不小心删除了该软件创建的ThawSpace分区。删除的ThawSpace分区包含用户创建的数据。下次受影响的用户坐在办公桌前时,他们的关键文件都不见了。

驱动能力: 4个希捷笔记本电脑硬盘(3个250GB硬盘和1个500GB硬盘)
操作系统:窗户
虚拟化软件:Faronics深冻企业号
情况:删除了4台计算机的ThawSpace虚拟分区
数据恢复:已删除的ThawSpace分区内容
二进制文件读取: 100%
情况下评级: 6

恢复已删除的ThawSpace

格雷格Andrzejewski我们的研发总监负责从已删除的ThawSpace分区中恢复数据。恢复虚拟分区本身的过程与删除文件的典型数据恢复情况相同。

当一个文件从硬盘上删除时,它不会永远消失——至少一开始不会。典型计算机中的硬盘驱动器会记录驱动器上哪些扇区集群正在使用,哪些扇区集群没有使用。在Windows的硬盘驱动器格式化的NTFS中,此记录称为位图.当删除文件或清空回收站时,位图将包含该文件的集群标记为“未使用”而不是已使用。文件仍然在磁盘上,尽管通过正常方式无法访问。

在一个典型的数据恢复案例中硬盘上的文件已被删除,我们的逻辑数据恢复工程师首先对驱动器进行100%的映像。然后,逻辑数据恢复技术人员查看Bitmap表示未使用的所有集群。在这种情况下,Greg正在查看客户端受影响的硬盘驱动器上是否有任何大的vhd形状的空点。

在这种情况下,这些已删除的ThawSpace VHD文件的数据恢复过程需要我们的工程师进行与典型的已删除文件数据恢复案例相同类型的分析,只是增加了一个额外的扭曲。一旦删除的虚拟分区被恢复,下一步就是查看其中的情况,以评估数据状况。

从一个已删除的ThawSpaces虚拟硬盘中恢复的文件样本,因为它们出现在我们的安全客户端上
从一个已删除的ThawSpaces虚拟硬盘中恢复的文件样本,因为它们出现在我们的安全客户端上

一个人的工作逻辑数据恢复工程师不仅要恢复由于删除的文件或重新格式化的硬盘驱动器而丢失的数据,而且要评估是否有任何数据损坏,如果有,有多少。

一旦硬盘驱动器的一部分不再被标记为已使用,该空间就成为任何写入驱动器的新数据的自由游戏。在那些“解冻空间”被删除的瞬间,硬盘说:“哦,太好了!我现在有了几百gb的新空闲空间!”但是,构成这些虚拟分区的实际数据仍然在磁盘上。删除ThawSpaces后写入驱动器的任何数据都可能覆盖虚拟分区的部分,进而影响其中包含的文件和文件系统。

在虚拟分区本身被定位和隔离之后,Greg可以将它们挂载到我们的数据恢复机器上,并对它们进行梳理,以检查数据的完整性,就像它们是真实的物理(完全健康的)硬盘驱动器一样。如果文件的一部分被覆盖,则该文件可能部分恢复,但部分甚至完全失去功能。幸运的是,从客户端删除的ThawSpace虚拟分区中恢复的数据似乎几乎没有损坏。

我们成功地从客户的两个硬盘中恢复了Faronics解冻空间的大量内容。其中两个硬盘的解冻空间被用户创建的数据填满。至于另外两个驱动器,它们的ThawSpaces似乎只包含很少的数据。我们不能完全确定这是因为大量被删除的数据被覆盖了,还是因为这两个特别的ThawSpaces一开始就没有多大用处。

虽然我们给这个案例打了6分,但客户对删除的ThawSpace虚拟分区的逻辑数据恢复结果非常满意。对我们的委托人来说,这个案子非常成功。

将Ascenzo
将Ascenzo

Will是Gillware数据恢复和数字取证的首席博主、文案和文案编辑,也是反对滥用无辜分号的坚定倡导者。张信哲代言博彩 欧宝娱乐欧宝娱乐百科

文章:213
Baidu