Synology RS3412xs数据恢复案例分析:删除lun
目录
显示
在这个数据恢复案例中,客户端有四个已删除的lun需要恢复。这些lun(或iSCSI目标)一直存在于Synology RackStation RS3412xs上网络连接的存储设备.
SynologyRS3412xs数据恢复案例分析:删除lun
RAID级别:6
总容量:32tb
操作系统:Linux (Ext4)
情况:删除4个LUN(逻辑单元号)文件,或者iSCSI目标
数据恢复:lun的内容
二进制读取:100%
欧宝娱乐百科张信哲代言博彩 欧宝娱乐Gillware数据恢复案例评级:9+
网络附加存储设备,或NAS设备,是通过网络连接到其他计算机的外部设备。它没有USB端口,而是有一个以太网端口,可以连接到路由器而不是个人电脑。具有相应权限的人员可以远程访问存储设备。
NAS设备几乎总是包含RAID。当用户是中小型企业时尤其如此。单驱动器NAS设备仅为个人使用而设计。这个NAS设备实际上是作为存储区域网络.Synology RAID为客户组织中的多个人员提供了访问看起来像本地磁盘,但实际上是远程存储池的权限。
此数据恢复客户端的NAS设备中的十个4tb硬盘驱动器连接在一个ob 体育 .他们的阵列有32tb的总磁盘空间。RAID-6提供最多两个硬盘故障的容错。但是任何RAID阵列都无法保护其用户不被删除文件。
lun简介
LUN是一个“逻辑单元号”。这些数字仅在某些存储设备(如san)使用SCSI、iSCSI或光纤通道协议传输数据时才会使用。当使用任何这些协议时,存储卷上的空间将被分配一个唯一的iSCSI目标号。“逻辑单元号”字面上指的是唯一的数字本身,仅此而已。但是“LUN”也被用作整个逻辑单元的简写。LUN可以定义硬盘的一部分、整个硬盘或整个RAID。单个LUN也称为iSCSI目标。
lun有点类似虚拟分区.它们是“软”分区。软分区在用户和操作系统看来是一个独立的硬盘驱动器,但实际上并不对应于磁盘或独立数据存储设备上的“硬”硬分区。它更像是一个单独的文件,假装是它自己的硬盘驱动器。管理员可以根据需要在网络设备的空间上创建任意数量的lun。然后可以将这些lun分配给用户。
恢复被删除的lun面临的挑战
在大多数删除文件数据恢复在这种情况下,数据删除后不会立即丢失。例如,在Windows和Mac文件系统中,包含已删除文件的数据和指向该文件的区段将保留在驱动器上,直到它们被新数据覆盖。如果Mac或PC在硬盘删除数据后没有多少用处,我们的工程师可以相对容易地恢复被删除的文件。
但是,该NAS设备没有使用Windows NTFS或Mac HFS+文件系统。相反,它使用Linux Ext4文件系统。这对我们的工程师来说是件好事。Ext4是一个开源的、文档非常完善的文件系统。许多NAS设备将使用它们自己的专有文件系统。这些文件系统没有文档,解开它们非常麻烦。
Ext4不会自动擦除已删除的文件。但是Ext4特别是破坏性的关于其删除文件的元数据。当用户从Ext4分区中删除一个文件时,文件系统将从其inode中删除该文件的目录条目。不幸的是,Ext4根据设计破坏了告诉我们已删除文件的数据位于何处的信息。
Ext4删除文件恢复
有时,可以使用Ext4保存的日志活动记录来恢复旧的区段。Ext4文件系统有一个称为“文件系统日志记录”的特性。当用户想要对磁盘进行更改时(例如,创建、修改或删除文件),文件系统首先将更改记录放入日志文件中之前做出改变。该特性是为了保证数据的弹性。通常情况下,如果硬盘驱动器在写操作中断电或计算机崩溃,新写入的数据可能会损坏。但是启用日志记录后,文件系统可以“回滚”到执行最后一条命令之前。然后,它可以再次这样做,而不会有将损坏的数据写入驱动器的危险。
但是日志文件中没有删除用户的lun。在这种情况下,Ext4文件系统的日志记录功能的一个缺点是日志文件的大小是固定的。当日志文件填满时,它会循环到开头。它开始在文件的开头写入最新记录的更改,覆盖最老的条目。不幸的是,Synology NAS设备在文件删除事件发生后仍在继续使用。
被删除的lun中的大部分数据仍然位于硬盘驱动器的某个位置。但是如果没有目录条目,数据将很难找到。这些文件的大小都是1tb。在这个文件系统中,LUN文件完全不是连续的。这些被删除的iSCSI目标分散在整个阵列的数千个碎片中。
从删除的lun中恢复数据
我们的逻辑数据恢复专家格雷格Andrzejewski他有一条重要的线索可以恢复这些被删除的lun。对于这些被删除的lun这样的超大文件,指向这些文件的区段必须存储在树状结构中。文件的inode指向数据块。这些块依次指向组成文件的所有区段。
Ext4文件系统中每个文件的目录条目为系统提供了文件名和inode号。当系统必须找到其中一个文件时,它会转到inode号。从那里开始,它一直跟着树走。删除这些iSCSI目标后,将无法找到分配给已删除lun的确切inode号。当用户将Ext4应用到一个卷时,它在一开始就创建了数千万个inode。大多数inode没有被使用,因为大多数用户没有数千万个文件。找到指向客户端已删除lun的inode几乎是不可能的。
但是,我们的数据恢复专家Greg可以找到已删除lun的范围树。Ext4并没有将这些树连同目录条目一起清除。因此,这仅仅是找到所有的范围树,然后排除所有连接到现有文件的范围树。Greg能够恢复几乎所有被删除的4个lun。文件系统只覆盖了一个已删除iSCSI目标的零头。一旦Greg将iSCSI目标组合到一个磁盘映像中,我们就可以在删除的lun中看到客户端的所有文件。
结论
我们对自己的自有恢复工具使删除的LUN恢复成为可能。为了恢复这四个被删除的lun,我们必须搜索它们的所有碎片。然后我们必须交叉引用它们并将它们关联起来。如果没有像HOMBRE这样强大的取证分析工具及其关系数据库,这是不可能的。在我们自己的定制软件的帮助下,我们可以从客户端删除的lun中恢复所有的文件。他们没有丢失或不完整的关键文件。我们的数据恢复技术人员也没有发现文件损坏的证据。我们给这个数据恢复案例打了9分。
