RAID

Tomset · Отправлено: **18:03, 23-04-2019** | #2

DruOleg,
Диски можно и не выносить, а вынести их посекторные образы.
Секретные и прочие конфедициальные данные DR фирмы могут делать под вашим контролем.
Прошли какой-то этап, забрали все диски, на следующий день снова принесли, чтобы продолжить.
Диски под копии и задачу, тоже предоствляете свои, сеть требуете отключить.

удобно разбираться в PC3000 DE Raid Edition.
Не видя дисков мало чем поможешь.
В целом делается черновой поиск по каждому участнику, поиск структур FS и сигнатур файлов, по их чередованию и целостности файлов выясняется структура массива. Размер страйпа, порядок чередование дисков и контрольных блоков. Собирается массив, и уже в нем идет анализ файловой структуры.
Другими программами не пользуюсь. Особо не подскажу.

DruOleg · Отправлено: **19:08, 23-04-2019** | #3

Tomset, спасибо за ответ.

Цитата Tomset:

Секретные и прочие конфедициальные данные DR фирмы могут делать под вашим контролем.
Прошли какой-то этап, забрали все диски, на следующий день снова принесли, чтобы продолжить.
Диски под копии и задачу, тоже предоствляете свои, сеть требуете отключить. »

Тут никакие доводы не действуют, увы.
Судя по всему $MFT таблица потеряна окончательно. Нашел только пару записей FILE0, и те созданы при попытке восстановления загрузчика.

Tomset · Отправлено: **19:41, 23-04-2019** | #4

DruOleg,
По всем дискам нужно искать.
Вот так подобные задачи решаются в DE рейд эдишен:
http://blog.acelab.ru/opredeleniye-k...ii-raid-1.html
http://blog.acelab.ru/opredelenie-ko...ix-fajlov.html

Во всяких других сборщиках рейдов подобного даже близко нет.
Сидеть записывать адреса структур сбесишься.
Раз хотят сами, просите купить для вас комплекс. за полгодика разберетесь.
А потом продадите.

Вот пусть начальство и думает, порядка 200000р за комплекс и где-то год обучение.
Или на фирму сходить от 20 до 70 тысяч в зависимости от количества дисков и объема массива
И неделя работы опытного специалиста.

DruOleg · Отправлено: **20:05, 23-04-2019** | #5

Опытным путем посмотрел на тестовом стенде хранение данных в $MFT на примере БД в 10 ГБ. Она состоит из двух кластеров, в начале каждого находится запись "INDX(" (49 4E 44 58 28 00).
Копаю в этом направлении. Надеюсь, верном.

Tomset,
спасибо за матчасть! Буду изучать.

Руководство не мое, я тут в роли "спасителя" после "женских докторов".
Для нашей организации это репутационные потери (хотя мы 3 года не допускались к этим серверам теми же безопасниками и уже спасали их 3 года назад после шифровальщика на том же сервере), а для заказчика кадровые.

Jula0071 · Отправлено: **21:06, 23-04-2019** | #6

Цитата DruOleg:

Осталось админов сжечь, тогда можно сказать, что вообще ничего не существовало. »

Сжигать нужно того, кто не обеспечил бекапы. А в случае БД и того, кто не обеспечил реплики. Это азы же. Да, это требует дополнительных ресурсов, но зато спасает от неквалифицированных стрелочников.

Tomset · Отправлено: **08:26, 24-04-2019** | #7

Цитата Jula0071:

но зато спасает от неквалифицированных стрелочников. »

От таких ни чего не спасает, они и бекап грохнут. )
Сотни тысяч людей обращаются в DR конторы имея и не один бекап.
Сложность в том, что постоянно работающие базы и задачи, в которых нет собственно механизма резервирования, не возможно на ходу резервировать, когда файлы не синхронно изменяются. А останавливать работу можно только по выходным или ночами. При восстановлении из бекапа теряется самая актуальная последняя информация.
За день могут вносится тысячи изменений сотнями пользователей.
Рейд только непрерывность процесса обеспечивает, но его надежность ниже чем у одного диска.
Это даже по формулам видно.

DruOleg · Отправлено: **12:34, 26-04-2019** | #8

Всем спасибо за конструктивные советы.
Данные восстановить не удалось. Но удалось выяснить, что перед поломкой RAID отработал DiscCrypt (злоумышленникам привет).
Очень качественный провал.

Jula0071 · Отправлено: **17:10, 26-04-2019** | #9

Цитата Tomset:

Сложность в том, что постоянно работающие базы и задачи, в которых нет собственно механизма резервирования, не возможно на ходу резервировать, когда файлы не синхронно изменяются. »

У MS SQL есть механизмы репликации. Как и у любого enterprise-ready RDBMS движка. Но для этого нужен как минимум ещё один сервер, на котором собственно и должна крутиться реплика. Суть как раз в том, что на реплике всегда актуальная инфа, при падении мастера можно просто переключиться на реплику, в идеальном случае это происходит автоматически. Для минимизации последствий атаки на сам SQL часто используют реплики с задержкой, когда транзакции вносятся с задержкой скажем в два часа - иногда лучше потерять транзакции за последние пару часов, чем все.

Tomset · Отправлено: **17:57, 26-04-2019** | #10

Цитата Jula0071:

У MS SQL есть механизмы репликации. »

Ну так о чем и пишу, не сервер, железо или программа бекапа репликацией занимается, а сама база.
Но порядок стоимости такого sql, гораздо выше, чем облегченный или бесплатный SQL, который чаще всего используют разработчики всяких баз.