從事數據恢復工作的工程師大都知道,數據恢復技術很大一部分涉及到不同的文件系統類型,比如Windows系統下,常用的有NTFS、FAT、exFAT 三種類型文件系統;在LINUX系統下,常用的有Ext2/Ext3/Ext4、XFS、ReiserFS等文件系統;蘋果操作系統常用的有HFS /HFS+/HFSX文件系統;常見的UNIX文件系統有UFS/UFS2、JFS/JFS2、VxFS等。在這些文件系統中,UNIX文件系統是普通電 腦用戶很少有機會接觸到的,因爲這些文件系統往往在專用的小型機上應用,而小型機是價格不菲的UINX服務器,大都部署在企業級應用上,比如金融業的銀 行、保險、證券等,電信行業,國家電網,國家稅務等等重量級單位。UINX服務器以穩定性好、安全性好等等是諸多關鍵應用的有力保障。
目前世界上的UINX服務器主要以IBM、HP、Oracle(收購原先Sun Unix服務器部分)爲主,都是軟硬件結合的產品,除了Oracle 的 Solaris發佈可安裝在x86平臺unix版本之外,IBM的AIX和HP的HP-UX只能在自家的硬件平臺上運行,UINX學習愛好者通過 VMWARE虛擬機環境還沒有辦法虛擬出AIX和HP-UX環境,如果想學習這兩種系統,通過購買二手小型機是比較好的選擇。
UNIX服務器數據恢復是一門高端數據恢復技術,雖然說UNIX服務器是穩定性、安全性很好,但由於硬件機械故障、人爲失誤因素等等原因,也有可能 造成數據丟失的現象。不同的工程師或者不同的團隊在實施項目的時候,如果漏掉一個很小的安全細節,就會成爲日後文件丟失的缺口,比如備份腳本中把文件備份 在同一個物理存儲上,當存儲崩潰,所做的備份也就隨存儲丟失;再比如粗心工程師執行rm命令引發的慘案等等。UNIX服務器數據恢復技術難度遠遠大於 Windows文件系統下的數據恢復,就拿IBM AIX下的JFS/JFS2文件系統來說,它本身公開的技術資料很少,很難查閱到詳細的結構信息,在我的數據恢復技術研究路程中,JFS/JFS2文件系 統結構的分析花費了我大量的時間和精力。
我有幸參與了IBM的一個非常經典的案例分析,當時情況是某個證券交易系統出現異常,普通用戶登錄不了,經IBM工程師檢查發現,/etc目錄權限 被更改,但是不知道如何被更改,到底是人爲的還是程序BUG,證券公司要求IBM公司嚴查,一定要找出原因來。我到達現場以後,要求他們把主機系統設計到 的LV都鏡像出來,把這些LV都拿出來分析。IBM派來幾路人馬,要在一天之內把這個事情弄清楚。我負責的技術部分就是查出在指定的某個20分鐘時間段 內,有哪些文件創建、修改、刪除,還有查找主機執行命令記錄(現有history記錄不存在的),按照這個要求,我在幾個小時內把報告整理出來,交給 IBM總負責這件事情的技術人員,我說我的工作已經完成了,就看你們最後的彙總了。在幾個小時後,所有參與的工程師在一起聽一個從美國派來工程師分析,下 定結論是:程序的bug引起的。而我的分析報告中,有該程序相關文件的創建記錄,別的文件沒有發生異常,說明我按照他們要求提取出了有用的信息。
很多人認爲IBM的工程師都能瞭解AIX文件系統的內部結構,其實不是這樣的,無論工程師的級別多麼高,除了IBM文件系統設計實驗室的工程師知道 以外,別的很少深入到文件系統內部詳細結構這個級別。像我們第三方機構或個人想瞭解到這個層次,就連一些IBM工程師也認爲是不可能的,但是我們做到了。 我們走的是逆向分析過程,只要到一定程度,就可以一片一片揭開JFS/JFS2神祕的面紗,數據恢復技術的高深和奧妙就體現在無窮無盡的探索和研究之中。
本文由達思數據恢復總工程師覃廷良撰寫,轉發請註明出處:http://www.bnuol.com達思數據恢復