Synology RS3412xs数据恢复案例研究:删除的lun

在此数据恢复案例中,客户端有4个已删除的lun需要恢复。这些lun或iSCSI目标曾经生活在Synology RackStation RS3412xs上网络附加存储设备

我们可以从Synology RackStation RS3412xs中恢复被删除的lun
我们可以从Synology RackStation RS3412xs(图片来源:zdnet

SynologyRS3412xs数据恢复案例研究:删除的lun
RAID级别:6
总容量:32tb
操作系统:Linux (Ext4)
情况:删除4个LUN (logical unit number)文件或iSCSI目标
“数据恢复”:lun的内容
二进制读:100%
欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware数据恢复案例评级:9+

网络连接的存储设备,简称NAS设备,是通过网络与其他计算机连接的外部设备。它没有USB接口,而是有一个以太网接口,连接路由器而不是个人电脑。具有相应权限的用户可以远程访问存储设备。

NAS设备几乎都包含RAID。当用户是中小型企业时尤其如此。单驱动器NAS设备仅供个人使用。这个NAS设备实际上是作为存储区域网络.Synology RAID为客户组织中的多人提供了访问看似本地磁盘,但实际上是远程存储池的权限。

这个数据恢复客户端NAS设备中的十块4tb硬盘被连接在ob 体育 .他们的阵列有32tb的总磁盘空间。RAID-6提供最多两个硬盘故障的容错能力。但有一件事没有RAID阵列可以保护它的用户,那就是删除文件。

lun入门

LUN是一个“逻辑单元号”。只有当某些存储设备(如san)使用SCSI、iSCSI或光纤通道协议传输数据时,才会使用这些数字。当使用任何这些协议时,存储卷上的空间都会被分配一个唯一的iSCSI目标号。“逻辑单元号”字面上指的是唯一的数字本身,仅此而已。但是“LUN”也可以作为整个逻辑单元的缩写。LUN可以定义硬盘的一部分、整个硬盘或整个RAID。单个LUN也称为iSCSI目标。

lun有点类似虚拟分区.它们是“软”分区。对于用户和操作系统来说,软分区将显示为一个独立的硬盘驱动器,但实际上并不对应于磁盘上的“硬”物理分区或一个独立的数据存储设备。它更像是一个单独的文件,假装是自己的硬盘。管理员可以使用网络设备上的空间创建任意数量的lun。然后可以将这些lun分发给用户。

恢复已删除lun的挑战

在大多数删除文件数据恢复在情况下,数据在删除后不会立即丢失。例如,在Windows和Mac文件系统中,由已删除文件和指向该文件的区段组成的数据会一直留在驱动器上,直到它们被新数据覆盖。如果Mac或PC在硬盘上删除数据后没有多大用处,我们的工程师就可以相对容易地恢复被删除的文件。

但是,这个NAS设备没有使用Windows NTFS或Mac HFS+文件系统。相反,它使用了Linux Ext4文件系统。这对我们的工程师有好处。Ext4是一个开源的、文档记录非常好的文件系统。许多NAS设备将使用它们自己专有的文件系统。这些文件系统没有文档,解开它们是一件非常痛苦的事情。

Ext4不会自动删除已删除的文件。但Ext4是特别是对于已删除文件的元数据具有破坏性。当用户从Ext4分区中删除文件时,文件系统将从其索引节点中清除该文件的目录条目。不幸的是,Ext4故意破坏了告诉我们已删除文件的数据位于何处的信息。

删除文件恢复

有时,可以使用Ext4保存的日志活动记录恢复旧的区段。Ext4文件系统有一个称为“文件系统日志记录”的特性。当用户想要对磁盘进行更改时(例如,创建、修改或删除文件),文件系统首先将更改记录放入日志文件中之前做出改变。该特性是为了保证数据的弹性。通常情况下,如果硬盘在写操作过程中失去电源或计算机崩溃,新写的数据可能会损坏。但是启用日志记录后,文件系统可以“回滚”到执行最后一个命令之前。然后它可以再做一次,而不会有将损坏的数据写入驱动器的危险。

但是删除用户的lun不在日志文件中。在这种情况下,Ext4文件系统的日志功能的一个缺点是日志文件的大小是固定的。当日志文件填满时,它会循环到开始。它开始在文件的开头写入最新记录的更改,覆盖最老的条目。不幸的是,Synology NAS设备在文件删除事件后继续使用。

被删除的lun中的大部分数据仍然位于硬盘上的某个位置。但是如果没有目录条目,数据将很难找到。这些文件每个有1tb大小。在这个文件系统中,LUN文件不是连续的。这些被删除的iSCSI目标分散在整个阵列的数千个碎片中。

从已删除的lun中恢复数据

逻辑数据恢复专家格雷格Andrzejewski有一条重要线索可以让他恢复这些被删除的lun。对于非常大的文件,比如这些已删除的lun,指向这些文件的区段必须存储在树结构中。文件的inode指向数据块。这些块依次指向构成文件的所有区段。

Ext4文件系统中每个文件的目录条目为系统提供了文件名和inode号。当系统必须找到其中一个文件时,它会转到inode编号。从那里开始,它一直沿着树向下。在删除这些iSCSI目标后,无法找到分配给删除lun的确切索引节点号。当用户将Ext4应用到卷时,它会在一开始就创建数千万个inode。这些inode中的大多数都没有使用,因为大多数用户没有数千万个文件。找到指向客户端已删除的lun的inode几乎是不可能的。

但是,我们的数据恢复专家Greg可以找到已删除lun的范围树。Ext4没有清除这些树和目录条目。所以这只是找到所有的范围树,然后排除所有连接到现有文件的范围树的问题。Greg几乎恢复了所有4个被删除的lun。文件系统只覆盖了一个已删除iSCSI目标的百分之一的一小部分。一旦Greg将iSCSI目标合并到一个磁盘映像中,我们就可以在删除的lun中看到所有客户端文件。

结论

我们对我们的自己的恢复工具使删除的LUN恢复成为可能。为了恢复被删除的4个lun,我们必须搜索它们的所有碎片。然后我们必须交叉对照它们并将它们联系在一起。如果没有HOMBRE及其关系数据库这样强大的法医分析工具,这是不可能实现的。在我们自己的定制软件的帮助下,我们可以从客户删除的lun中恢复所有的文件。他们的关键文件都没有丢失或不完整。我们的数据恢复技术人员也没有发现文件损坏的证据。在我们的10点病例评分量表中,我们将这个数据恢复病例评为高9分。

默认的图片
将Ascenzo
Will是Gillware Data Recovery和Digital Forensics的首席博主、文案和文案编辑欧宝娱乐百科张信哲代言博彩 欧宝娱乐,也是反对滥用无辜分号的坚定倡导者。
文章:218

2的评论

留下一个回复

Baidu