Synology RS3412xs数据恢复案例研究:删除的lun

在此数据恢复案例中,客户端有4个已删除的lun需要恢复。这些lun或iSCSI目标曾经生活在Synology RackStation RS3412xs上网络附加存储设备

我们可以从Synology RackStation RS3412xs中恢复被删除的lun
我们可以从Synology RackStation RS3412xs(图片来源:ZDNet.

SynologyRS3412XS数据恢复案例研究:已删除LUN
RAID级别:6
总容量:32 TB
操作系统:Linux (Ext4)
情况:4已删除LUN(逻辑单位编号)文件或iSCSI目标
恢复数据:LUN的内容
二进制读:100%
欧宝娱乐百科张信哲代言博彩 欧宝娱乐羽毛数据恢复案例评分:9+

网络附加的存储设备或NAS设备是由网络连接到其他计算机的外部设备。它没有USB端口,它具有以太网端口,并连接到路由器而不是单个计算机。具有正确权限的人可以远程访问存储设备。

NAS设备几乎总是包含RAID阵列。当用户是中小型企业时,这尤其如此。单驱动器NAS设备仅供个人使用。这个NAS设备实际上是一个存储区域网络.Synology RAID在客户组织中提供了多个人,可以访问看起来像本地磁盘的内容,但实际上是远程存储池。

这个数据恢复客户端NAS设备中的十块4tb硬盘被连接在ob 体育 .他们的阵列有32个总磁盘空间。RAID-6提供最多两个硬盘驱动器故障的容错容错。但有一件事没有RAID阵列可以保护其用户免于文件删除。

介绍LUN

LUN是一个“逻辑单元号”。只有当某些存储设备(如san)使用SCSI、iSCSI或光纤通道协议传输数据时,才会使用这些数字。当使用任何这些协议时,存储卷上的空间都会被分配一个唯一的iSCSI目标号。“逻辑单元号”字面上指的是唯一的数字本身,仅此而已。但是“LUN”也可以作为整个逻辑单元的缩写。LUN可以定义硬盘的一部分、整个硬盘或整个RAID。单个LUN也称为iSCSI目标。

LUN有点类似虚拟分区.它们是“软”分区。对于用户和操作系统来说,软分区将显示为一个独立的硬盘驱动器,但实际上并不对应于磁盘上的“硬”物理分区或一个独立的数据存储设备。它更像是一个单独的文件,假装是自己的硬盘。管理员可以使用网络设备上的空间创建任意数量的lun。然后可以将这些lun分发给用户。

恢复已删除LUN的挑战

在大多数删除文件数据恢复在情况下,数据在删除后不会立即丢失。例如,在Windows和Mac文件系统中,由已删除文件和指向该文件的区段组成的数据会一直留在驱动器上,直到它们被新数据覆盖。如果Mac或PC在硬盘上删除数据后没有多大用处,我们的工程师就可以相对容易地恢复被删除的文件。

但是,此NAS设备未使用Windows NTFS或Mac HFS +文件系统。相反,它使用Linux ext4文件系统。这对我们的工程师有好处。ext4是一个开源,非常良好地记录的文件系统。许多NAS设备将使用自己的专有文件系统。这些文件系统没有文档,疼痛和一半是解开。

ext4不会自动删除已删除的文件。但ext4是特别是关于其已删除文件的元数据的破坏性。当用户从ext4分区删除文件时,文件系统会从其inode中擦除文件的目录条目。Ext4不幸的是,摧毁了告诉我们删除文件的数据在设计的位置的信息。

删除文件恢复

有时,可以使用记录Ext4的记录活动恢复旧的范围。ext4文件系统具有称为“文件系统日记”的功能。当用户想要更改磁盘时 - 例如,创建,修改或删除文件 - 文件系统首先将更改的记录放入日志文件中做出改变。该特性是为了保证数据的弹性。通常情况下,如果硬盘在写操作过程中失去电源或计算机崩溃,新写的数据可能会损坏。但是启用日志记录后,文件系统可以“回滚”到执行最后一个命令之前。然后它可以再做一次,而不会有将损坏的数据写入驱动器的危险。

但删除用户的LUN不在日志文件中。Ext4文件系统的一个功能在这种情况下被证明是缺点的日志功能是日志文件是一个集合大小。当日志文件填满时,它会循环到开头。它开始在文件开头写入最新的录制更改,覆盖最旧的条目。不幸的是,Synology NAS设备已在文件删除事件后继续使用。

删除LUN的大多数数据仍然位于硬盘驱动器上的某个位置。但没有目录条目,数据将证明难以找到。这些文件的大小为一个大字节。在此文件系统中,LUN文件绝不是连续的。这些已删除的iSCSI目标在阵列上分散在数千件中。

从已删除的lun中恢复数据

我们的逻辑数据恢复专家格雷格Andrzejewski有一个重要的领导,他可以追随恢复这些已删除的LUN。对于非常大的文件,例如这些已删除的LUN,指向这些文件的扩展名必须存储在树结构中。文件指向数据块的inode。这些块转弯到构成文件的所有范围。

Ext4文件系统中每个文件的目录条目为系统提供了文件名和inode号。当系统必须找到其中一个文件时,它会转到inode编号。从那里开始,它一直沿着树向下。在删除这些iSCSI目标后,无法找到分配给删除lun的确切索引节点号。当用户将Ext4应用到卷时,它会在一开始就创建数千万个inode。这些inode中的大多数都没有使用,因为大多数用户没有数千万个文件。找到指向客户端已删除的lun的inode几乎是不可能的。

但是,我们的数据恢复专家Greg可以找到已删除LUN的程度。ext4没有将这些树木与目录条目一起消灭。因此,它只是在确定所有范围树的问题,然后判断连接到遥控文件的所有内容。格雷格能够恢复几乎所有4个已删除的LUN。文件系统仅覆盖了百分之一的一小部分删除的iSCSI目标。一旦Greg将iSCSI目标组合到一个磁盘映像中,我们就可以在已删除的LUN中看到所有客户端的文件。

结论

我们已经过的总控制自己的恢复工具使删除的LUN恢复成为可能。为了恢复被删除的4个lun,我们必须搜索它们的所有碎片。然后我们必须交叉对照它们并将它们联系在一起。如果没有HOMBRE及其关系数据库这样强大的法医分析工具,这是不可能实现的。在我们自己的定制软件的帮助下,我们可以从客户删除的lun中恢复所有的文件。他们的关键文件都没有丢失或不完整。我们的数据恢复技术人员也没有发现文件损坏的证据。在我们的10点病例评分量表中,我们将这个数据恢复病例评为高9分。

默认映像
将aschenzo
Will是Gillware Data Recovery和Digital Forensics的首席博主、文案和文案编辑欧宝娱乐百科张信哲代言博彩 欧宝娱乐,也是反对滥用无辜分号的坚定倡导者。
文章:218

2评论

发表评论

Baidu