成功案例

Successful case

數據恢復及電子取證產品成功案例
數據恢復服務成功案例
解決方案成功案例
技術培訓成功案例

警告：出自于數據恢復從業(yè)人員之手的數據安全事故

發(fā)布時間：2022-08-16

計算機本身就是一套物理與邏輯結構極其嚴謹的系統(tǒng)，我們或是說整個IT從業(yè)人員，對于計算機來說無異于管中窺豹。

大多數時候，我們因為各種主觀原因忽略了事情的多面性，或是說我們總有不能掌控全局的時候。所以有時候，如果找的數據恢復工程師不夠專業(yè)，也有可能會造成數據安全事故。

下面說兩起典型的因為數據恢復工程師帶來的數據恢復安全事故。

事故1：2014年某月，南方某城，客戶因為要克隆存儲，將 Dell R720 上的6塊磁盤帶到當地一家數據恢復公司進行磁盤鏡像，然后把鏡像完成的磁盤在另一臺同樣的dell R720服務器導入RAID配制信息，這樣就有兩臺一樣數據的服務器了。

1.過程

鏡像完成后，把磁盤插入第二臺服務器中，有兩塊磁盤標志為新盤，無RAID信息，數據無效。（原是6塊磁盤組成的RAID5）

原6塊磁盤插入原服務器中，也有兩塊磁盤標志為新盤，無RAID信息，數據無效。數據事故形成。

2.分析原因

當地的數據恢復工程師，在鏡像中使用 win7 系統(tǒng)，而且是關機插上磁盤后再開機。

客戶的系統(tǒng)為 XenServer 虛擬化系統(tǒng)，第一個分區(qū)從 2048扇區(qū)開始，分區(qū)表格式為 GPT 分區(qū)，RAID塊大小為64KB，按照RAID5的結構推算，RAID5的第一塊磁盤和最后一塊磁盤同時存在分區(qū)表，而 win7 系統(tǒng)在啟動系統(tǒng)時會自動掃描GPT分區(qū)表，并修正錯誤，客戶原始的GPT分區(qū)是描述整個RAID的，變成單塊磁盤后win7系統(tǒng)會把GPT分區(qū)表自動修復成單塊磁盤的容量描述，并在單塊磁盤的最后寫入GPT分區(qū)表的備份。

客戶的RAID卡為 Dell 的 H710 RAID卡，H710 RAID卡會在每塊磁盤最后的 520MB 空間存儲RAID信息，win7 系統(tǒng)把GPT分區(qū)表的備份寫入最后關鍵的 16KB 空間。

因為有兩塊磁盤有GPT分區(qū)表，就是說有兩塊磁盤的RAID信息被破壞，導致RAID失效。

3.解決過程

重組RAID，鏡像出數據?？蛻粼掌魃现亟≧AID，在 winPE 或 Linux CD 系統(tǒng)下鏡像回原存儲，再修改被 win7破壞的 GPT 分區(qū)表。

4.事故預防

鏡像數據時盡量使用 windows 2008 R2 系統(tǒng)，因為windows 2008 R2 系統(tǒng)新插的磁盤被標志為脫機模式，只讀不可寫，并且不要在 win系統(tǒng)的磁盤管理器里面使用 “重新掃描磁盤”。盡量使用磁盤的熱插撥功能，不要插上磁盤后再開機。

事故2：2014年某月，北京。

因為客戶誤刪除一個 Sql server 數據庫，客戶和北京某數據恢復公司聯系后，將服務器的 4塊磁盤撥出，帶到該公司進行數據恢復。

1.過程

數據庫的數據被大量覆蓋，恢復出來的數據完全不可用，修復也失去意義。數據恢復宣告失敗?？蛻魧⒋疟P帶回單位后，重新插入服務器，發(fā)現系統(tǒng)無法進入系統(tǒng)，進入RAID卡，發(fā)現所有磁盤是認成新的磁盤，無RAID信息，此RAID上還有客戶其它數據庫和應用程序。數據事故形成。

2.分析原因

數據恢復公司是使用IBM某型號RAID卡來連接用戶的SAS磁盤，再連上后系統(tǒng)仍無法識別，只得使用LSI 的 MegaRAID Storage Manager 軟件將客戶磁盤的RAID信息清空后，本地系統(tǒng)才識別客戶的4塊磁盤，也是因為清掉了用戶磁盤的RAID信息，導致客戶原先完好的RAID失效。

3.解決過程

重組RAID，鏡像出數據?？蛻粼掌魃现亟≧AID，在 winPE 或 Linux CD 系統(tǒng)下鏡像回原存儲。

4.事故預防

再連接用戶的單個SAS或SATA磁盤時，盡量使用SAS HBA 卡，不要使用RAID卡。

平時這種事故少有發(fā)生，是因為數據恢復這行業(yè)所接觸的RAID全是壞的RAID，清不清除RAID信息已影響不大，如果RAID是好的，只是邏輯上的事需要恢復數據，如誤刪除、格式化、文件系統(tǒng)損壞，這時清掉RAID信息，就會進行二次數據事故。

見議使用 LSI/Dell/HP/IBM 的 SAS 6GB HBA卡（支持3TB/4TB/6TB磁盤，而且完全沒有RAID功能，不認任何RAID，也不需要清除RAID信息），如果接口不方便，也可使用dell 的 H200或 H310 RAID卡，但前題是要把 dell h200/h310 RAID卡刷成HBA 卡（感謝黃廟芳提供HBA的固件）。

關于達思數據恢復與取證中心

達思科技，國家級高新技術企業(yè)，天津市國家保密局涉密載體數據恢復唯一協(xié)作單位，國家保密局常用辦公設備存儲部件敏感信息檢查系統(tǒng)項目課題承接單位，數據恢復與取證行業(yè)著名品牌，在國內乃至全亞洲數據恢復技術領先！達思科技的全稱是達思凱瑞技術(北京)有限公司，成立于2007年8月，注冊資金1500萬元。達思科技是一家以數據恢復與取證技術研發(fā)為核心的國家級高新技術企業(yè)，公司擁有自主知識產權的數據恢復與取證軟件30多種。公司下設研發(fā)中心、數據恢復與取證服務部、服務器RAID數據恢復應急中心等。

關注達思公司微信服務號或訂閱號，獲取更多信息：

圖片2.png