删除与FarOnics Deep Freeze的Thawspace分区

什么是一个thawspace?

Faronics Deep Freeze软件采用了用户机的快照,在那个时间点“冻结”它。每次机器重新启动时,它都会恢复到其冻结状态 - 由于拍摄快照以来,磁盘的更改都没有进行,但用户创建的文件除外。用户在使用Faronics的冻结时创建或修改的任何文件,他们希望在下次重新启动机器时保存他们必须存储在“Thawspace”中。当机器重新引导时,单独的Thawspace不受影响并将其卷回其冻结状态。

您使用深度冻结,需要帮助获得重要数据吗?

虚拟化介绍

在运行Faronics Deep Freeze的机器上,Thawspace是一种充当用户关键文件的容器的虚拟分区。虚拟分区只是硬盘的图像。您可以制作CD,DVD,软盘或任何其他类型数据存储设备的虚拟映像。此图像包含单个巨大文件中的所有设备的内容。例如,CD-ROM可以包含在ISO文件中。然后,只要您拥有正确的工具,您可以随时在您的计算机上播放ISO。

虚拟硬盘或VHD,同样的方式工作。到计算机的操作系统和最终用户,虚拟分区的行为与物理磁盘完全相同。实际上它没有太大的不同,而不是在您的硬盘驱动器上制作新分区,或插入USB闪存驱动器或外部硬盘驱动器进入计算机,并查看E:\或G:\ drive弹出。但是在引擎盖下,该分区的来源不是任何物理设备,而是一个巨大的文件。

您甚至可以将操作系统安装到虚拟磁盘上并从中启动计算机,给自己一个整体“虚拟机“ 和玩。或者您可以执行FarOnics与其深度冻结软件做的事情,并且具有虚拟磁盘只是为您的文件启用一个容器。

有一个不幸的虚拟化巨型,可以导致您必须将您的驱动器发送到我们的数据恢复实验室。当您进入Windows磁盘管理器“分离”或卸载虚拟硬盘时,生成的Windows对话框会为您提供选项删除实际的VHD或VMDK文件。

虚拟硬盘提示 -  Thawspaces
通过未选中此框,IT技术人员最终删除了删除的Thawspace虚拟分区。

同样,当从客户的工作站卸载FarOnics Deep Freeze时,卸载程序向导会选择删除Thawspace文件的选项。在Deep Refize卸载向导中,默认情况下删除刚刚发生刚刚发生的虚拟分区文件的选项。在从四台机器卸载软件后,IT技术人员负责不会注意到。当您完成完成后,您可能希望完全删除虚拟硬盘时,有一些情况。但是,这不是这样的场合。

欧宝娱乐百科张信哲代言博彩 欧宝娱乐吉列案例研究:

在此数据恢复情况下,我们的客户拥有法龙草在几个工作站上安装了Deep Freeze软件。在从四个工作站卸载Deep Freeze软件时,其IT部门的某人意外地删除了软件创建的Thawspace分区。已删除的Thawspace分区包含用户创建的数据。下次受影响的用户坐在他们的桌前时,他们的关键文件都丢失了。

驱动能力:4 Seagate笔记本电脑硬盘(3 250GB驱动器和1 500GB驱动器)
操作系统:Windows.
虚拟化软件:Faronics Deep Freeze Enterprise
情况:在四台计算机上删除了Thawspace虚拟分区
数据恢复:删除的Thawspace分区的内容
二进制阅读:100%
案例评级:6

恢复删除的Thawspace

格雷格·安德齐斯基是我们的研发总监,处理从已删除的THAWSPACE分区恢复数据的任务。恢复虚拟分区本身遵循与删除文件已被删除的典型数据恢复情况相同的进程。

从硬盘驱动器删除文件时,它不会永远不会消失 - 至少不是最初的。典型计算机中的硬盘驱动器会记录驱动器上的哪些扇区群体使用,并且不是。在For Windows的硬盘驱动器中,此记录被称为位图。当删除文件或清空回收站时,位图标记包含该文件的群集为“未使用”而不是使用。该文件仍然在磁盘上,尽管通过正常方式无法访问。

在典型的数据恢复情况下文件已从硬盘驱动器中删除,我们的逻辑数据恢复工程师首先制作100%的驱动器图像。然后,逻辑数据恢复技术人员需要查看位图说不被使用的所有群集。在这种情况下,Greg希望看到客户端受影响的硬盘上的任何地方有任何大VHD形空点。

对于这种情况,这些已删除的Thawspace VHD文件的数据恢复过程需要与我们的工程师的相同类型的分析作为典型的删除文件数据恢复案例,增加了扭曲。一旦删除了删除的虚拟分区,下一步是在它们内部拍摄,以评估数据的条件。

来自其中一个已删除的Thawspaces虚拟硬盘的恢复文件的样本,因为它们在我们的安全上显示到客户端
来自其中一个已删除的Thawspaces虚拟硬盘的恢复文件的样本,因为它们在我们的安全上显示到客户端

一个工作逻辑数据恢复工程师不仅要恢复由于已删除的文件或重新格式化的硬盘驱动器而丢失的数据,而且还要评估数据的任何损坏是否已随后,如果是的话,否则。

一旦使用的硬盘驱动器的一部分不再被使用,该空间成为写入驱动器的任何新数据的空间。在瞬间那些删除的人,硬盘说道,“哦,好!我现在有数百千兆字节的新自由空间!“但是,包括这些虚拟分区的实际数据仍然在磁盘上。由于Thawspaces已被删除的任何数据写入驱动器可能具有虚拟分区的部分覆盖,反过来影响其中包含的文件和文件系统。

在虚拟分区本身所在并孤立之后,格雷格可以将它们安装在我们的一个数据恢复机器上,并通过它们梳理,以检查数据的完整性,就像它们是真实的,物理(和完全健康的)硬盘一样。如果覆盖了一部分文件,则可以部分地恢复文件,但是部分甚至完全不起作用。幸运的是,从客户端删除的Thawspace虚拟分区恢复的数据似乎很少损坏。

我们能够成功地从两个客户的硬盘中恢复足够的Faronics Thawaspaces的内容。两个硬盘驱动器的Thawspaces填充了用户创建的数据。至于其他两个驱动器,它们的Thawspaces似乎包含很少的数据。如果这是因为这是因为覆盖了大量的删除数据,或者如果特别是删除的数据,或者特别是删除的数据只有很多删除的数据都没有看到很多使用。

虽然我们在我们的十分比例上评定了这个案例,但客户非常满意他们删除的Thawspace虚拟分区的逻辑数据恢复的结果。对于我们的客户,这种情况取得了巨大的成功。

默认映像
将aschenzo
将是吉列数据恢复和数字取证的主要博主,文章,以及复制编辑器,以及禁止滥用无辜分号的坚定倡导者。张信哲代言博彩 欧宝娱乐欧宝娱乐百科
文章:218

一个评论

发表评论

Baidu