成功案例

Successful case
  • 数据恢复及电子取证产品成功案例
  • 数据恢复服务成功案例
  • 解决方案成功案例
  • 技术培训成功案例

    • 警告:出自于数据恢复从业人员之手的数据安全事故

    发布时间:2022-08-16

    计算机本身就是一套物理与逻辑结构极其严谨的系统,我们或是说整个IT从业人员,对于计算机来说无异于管中窥豹。

    大多数时候,我们因为各种主观原因忽略了事情的多面性,或是说我们总有不能掌控全局的时候。所以有时候,如果找的数据恢复工程师不够专业,也有可能会造成数据安全事故。

    下面说两起典型的因为数据恢复工程师带来的数据恢复安全事故。

    事故1:2014年某月,南方某城,客户因为要克隆存储,将 Dell R720 上的6块磁盘带到当地一家数据恢复公司进行磁盘镜像,然后把镜像完成的磁盘在另一台同样的dell R720服务器导入RAID配制信息,这样就有两台一样数据的服务器了。

    1.png

    1.过程

    镜像完成后,把磁盘插入第二台服务器中,有两块磁盘标志为新盘,无RAID信息,数据无效。(原是6块磁盘组成的RAID5)

    原6块磁盘插入原服务器中,也有两块磁盘标志为新盘,无RAID信息,数据无效。数据事故形成。

    2.分析原因

    当地的数据恢复工程师,在镜像中使用 win7 系统,而且是关机插上磁盘后再开机。

    客户的系统为 XenServer 虚拟化系统,第一个分区从 2048扇区开始,分区表格式为 GPT 分区,RAID块大小为64KB,按照RAID5的结构推算,RAID5的第一块磁盘和最后一块磁盘同时存在分区表,而 win7 系统在启动系统时会自动扫描GPT分区表,并修正错误,客户原始的GPT分区是描述整个RAID的,变成单块磁盘后win7系统会把GPT分区表自动修复成单块磁盘的容量描述,并在单块磁盘的最后写入GPT分区表的备份。

    客户的RAID卡为 Dell 的 H710 RAID卡,H710 RAID卡会在每块磁盘最后的 520MB 空间存储RAID信息,win7 系统把GPT分区表的备份写入最后关键的 16KB 空间。

    因为有两块磁盘有GPT分区表,就是说有两块磁盘的RAID信息被破坏,导致RAID失效。

    3.解决过程

    重组RAID,镜像出数据。客户原服务器上重建RAID,在 winPE 或 Linux CD 系统下镜像回原存储,再修改被 win7破坏的 GPT 分区表。

    4.事故预防

    镜像数据时尽量使用 windows 2008 R2 系统,因为windows 2008 R2 系统新插的磁盘被标志为脱机模式,只读不可写,并且不要在 win系统的磁盘管理器里面使用 “重新扫描磁盘”。尽量使用磁盘的热插拨功能,不要插上磁盘后再开机。

    事故2:2014年某月,北京。

    因为客户误删除一个 Sql server 数据库,客户和北京某数据恢复公司联系后,将服务器的 4块磁盘拨出,带到该公司进行数据恢复。

    2.PNG

    1.过程

    数据库的数据被大量覆盖,恢复出来的数据完全不可用,修复也失去意义。数据恢复宣告失败。客户将磁盘带回单位后,重新插入服务器,发现系统无法进入系统,进入RAID卡,发现所有磁盘是认成新的磁盘,无RAID信息,此RAID上还有客户其它数据库和应用程序。数据事故形成。

    2.分析原因

     

    数据恢复公司是使用IBM某型号RAID卡来连接用户的SAS磁盘,再连上后系统仍无法识别,只得使用LSI 的 MegaRAID Storage Manager 软件将客户磁盘的RAID信息清空后,本地系统才识别客户的4块磁盘,也是因为清掉了用户磁盘的RAID信息,导致客户原先完好的RAID失效。

    3.解决过程

    重组RAID,镜像出数据。客户原服务器上重建RAID,在 winPE 或 Linux CD 系统下镜像回原存储。

    4.事故预防

    再连接用户的单个SAS或SATA磁盘时,尽量使用SAS HBA 卡,不要使用RAID卡。

    平时这种事故少有发生,是因为数据恢复这行业所接触的RAID全是坏的RAID,清不清除RAID信息已影响不大,如果RAID是好的,只是逻辑上的事需要恢复数据,如 误删除、格式化、文件系统损坏,这时清掉RAID信息,就会进行二次数据事故。

    见议使用 LSI/Dell/HP/IBM 的 SAS 6GB HBA卡(支持3TB/4TB/6TB磁盘,而且完全没有RAID功能,不认任何RAID,也不需要清除RAID信息),如果接口不方便,也可使用dell 的 H200或 H310 RAID卡,但前题是要把 dell h200/h310 RAID卡刷成HBA 卡(感谢 黄庙芳 提供HBA的固件)。

    关于达思数据恢复与取证中心

    达思科技,国家级高新技术企业,天津市国家保密局涉密载体数据恢复唯一协作单位,国家保密局常用办公设备存储部件敏感信息检查系统项目课题承接单位,数据恢复与取证行业著名品牌,在国内乃至全亚洲数据恢复技术领先!达思科技的全称是达思凯瑞技术(北京)有限公司,成立于2007年8月,注册资金1500万元。达思科技是一家以数据恢复与取证技术研发为核心的国家级高新技术企业,公司拥有自主知识产权的数据恢复与取证软件30多种。公司下设研发中心、数据恢复与取证服务部、服务器RAID数据恢复应急中心等。

    关注达思公司微信服务号或订阅号,获取更多信息:

    图片2.png

      总部:达思凯瑞技术(北京)有限公司

    达思数据恢复中心(北京总部):4007000017

    地址:中国北京市海淀区林风二路38号院4号楼3层312室(海淀绿地中央广场,北清路与稻香湖路交汇处)

    手机导航请搜“达思数据恢复”,跟着导航来达思吧

    电话: 010-62672125  62672120   62670165    62672127

    达思数据恢复QQ群:120161291   远程支持QQ:151208   

    达思软件用户QQ群:327273411(需验证正版信息)

    技术:010-62670165 / 数据恢复实验室方案: 13522681842

      达思全国各地服务站:
    微信公众号服务号200-200.jpg              

    微信服务号


    		微信公众号订阅号200-200.jpg              

    微信订阅号



    		微信公众号订阅号200-200.jpg              

    客户服务

    Copyright © 2007 达思凯瑞技术(北京)有限公司  达思科技官网  www.dstfix.com  All rights reserved. ICP备案号:京ICP备09028603号-15

    360网站安全检测平台
  • 首页
  • 电话
  • 在线咨询