删除文件恢复案例研究:Western Digital RAID-1镜像

这个客户端有两个500g西部数据公司WD5003ABYX-01WERA1硬盘组成RAID-1。重要的数据库文件已从数组中删除，客户需要我们的已删除文件恢复服务。

一个突袭是“独立磁盘的冗余阵列”。硬盘驱动器被放入RAID阵列，以提供更大的容量、更有效的数据读写速度、在硬盘故障时的数据冗余，或三者的某种组合。

ob 游戏 因为它只使用两个硬盘，只是把一个硬盘上的内容镜像到另一个硬盘上。这不会提高数据读取或写入数组的速度，也不会增加数组的存储容量。如果RAID-1阵列中的一个驱动器出现故障，它确实为用户提供了安心的保护。

从RAID-1镜像阵列恢复数据通常非常类似于从单个硬盘恢复数据。毕竟，RAID-1阵列的关键是拥有两个硬盘驱动器，两个硬盘上的数据完全相同。

有一种类型的数据丢失RAID-1不能保护它的用户:文件删除。对阵列中的一个驱动器所做的所有更改都会反射到该驱动器的镜像上。不幸的是，这也包括删除的文件。

在这个数据恢复案例中，客户端发现其数据库扩展名为TRO的大量备份文件已从阵列中删除。丢失的备份文件从2015年7月底持续到同年12月底。

删除RAID-1镜像文件恢复流程

我们内部专有的数据恢复软件，男人，设计了一些非常强大的工具，以帮助我们恢复由于逻辑硬盘损坏，如删除文件等。已删除的文件恢复案例是HOMBRE特别显示其优势的一个领域。

在映像硬盘驱动器的过程中，HOMBRE将不断拾取已标记为已删除的文件。它还会拾取不再与硬盘上任何文件系统相关联的文件签名。这并不是说HOMBRE做了所有的工作:这是一个智能程序，这是毫无疑问的，但像大多数软件一样，它的智能程度取决于使用它的工程师。

我们的逻辑数据恢复工程师Dan使用HOMBRE来梳理包括镜像阵列的两个西部数据硬盘驱动器上的各种备份文件。对比被删除文件的文件头，他得到了有希望且看起来一致的结果。这些结果表明，很少发生文件损坏。

但是，在HOMBRE中显示了一些带有红色图标的恢复文件。这是HOMBRE表示“我知道这个文件存在，但我还没有读过它”的方式。但是我们对RAID阵列中两个驱动器上的数据进行了100%的二进制读取。有人可能会奇怪，这样的事情怎么可能发生。

在Windows计算机上，文件定义包含在主文件表，或MFT。MFT保存磁盘上每个文件的名称和目录位置的记录。可以仅从MFT中找到和读取足够小的文件，以适合单个数据集群。如果一个文件占用了多个集群，那么它的区段指向该文件占用的集群的位置。

由于没有一个MFT被覆盖，我们的工程师拥有两个磁盘上所有文件的名称和目录位置。但是因为区段因为其中一些文件已经被覆盖，实际的文件本身已经消失了。这是数据恢复相当于在谷歌上查找一个企业，得到他们的地址，然后去那里只发现一个被推平的土地。

当数据被删除时，写入受影响驱动器的每一个新数据位和字节都会侵蚀磁盘上已删除文件仍然存在的“空闲”空间。我们的工程师确实注意到，在客户联系我们和他们的硬盘到达Gillware之间，已经创建了一些新文件，而且用户确实安装了一些删除的文件恢复软件。张信哲代言博彩 欧宝娱乐欧宝娱乐百科对于逻辑数据恢复案例来说，这通常是一个不好的征兆。在删除任何文件后运行软件都可能危及已删除的文件。

该用户删除的一些文件已经丢失。但总的来说，这个删除文件恢复案例的结果看起来非常好。我们为客户恢复了大量已删除的备份文件。我们给这个案子打了九分。

当你不小心删除了重要的数据时，想要安装一个已删除的文件恢复程序并立即恢复你的文件的诱惑是巨大的。但即使是运行一个程序，更不用说安装新软件，写入数据到你的硬盘驱动器，可以使你最近删除的文件的完整性处于危险之中。如果你的关键数据丢失了，相信专业人士恢复已删除的文件。