Відновлення 1С та робочих документів з RAID10
Давно ми не писали виконання кейси по жорстких дисках, так як рідко випадає вільний час, але ми вирішили виправитися. Цього разу герой нашої розповіді - цілих 4 жорстких диска Seagate об'єднані в RAID 10 масив. Клієнт привіз нам ці диски в парі зі стоечним сервером.
Відновлення RAID10 VMware ESXi
Заявлена клієнтом несправність: Необхідно відновити дані з RAID масиву. При цьому на масиві дисків працювала віртуальна машина VMware ESXi на якій працювали 2 віртуальних ПК на Windows 2012. За словами клієнтів - хтось «вліз» у їх систему і встигли провести маніпуляції з однією з віртуальних «машин», після чого система там перестала завантажуватися і доступ до файлів пропав.
з 10:00 до 16:00
Відновлення даних з сервера VMware ESXi
Насамперед нам потрібно було зібрати з 4-ох дисків цілісний RAID10, для того щоб перейти до аналізу даних на цікавий для віртуальний хост, до якого пропав доступ. Для цього ми використовували професійний програмний продукт українських розробників. Підібравши параметри, ми змогли відновити RAID10 з правильними параметрами і отримали доступ до дисків.
Наступне завдання - знайти і провести аналіз ушкоджень файлової системи віртуальної машини, з якої потрібні файли (1С та інші робочі бази і файли). За допомогою пошуку по сигнатурам ми знайшли потрібний файл віртуальної машини VMware. У цій віртуальній машині повинно бути 2 робочих розділу: системний і диск з базами і робочими документами. При перегляді в Hex редакторі було виявлено причина того, що система перестала вантажиться і пропав доступ - в системі була проведено хакерська атака з шифруванням системного розділу. Клієнту тут частково пощастило, і зловмисники не встигли провести шифрування всього, а лише встигли «запороти» системний диск, а другий диск встигли лише частково зашифрувати.
За допомогою програмного комплексу ми змогли відновити на 80% файли і бази з другого розділу і видати результат клієнтам.
Статті по темі:
