9data.bokee.com 复制
99data
加为好友
发送私信
给我留言
加入收藏
我的群组
荐给好友
日志
黑客的聪明并不只是在于他们知道如何去入侵服务器,还在于他们知道如何去伪装自己的攻击。恶意的攻击者会使用多种逃避的手段来让自己不会被检测到,所以作为系统管理员,也应当了解这些手段以应付可能发生的攻击。
这篇文章的主要目的不是揭示黑客新的攻击手法,而是对那些黑客所用到的逃避检测的手法以及他们可能留下的证据做描述。这些手段的欺骗性很大,所以想检测到它们也更加的困难。
网络服务器
我们的实验环境使用两种最常用的网络服务器,Apache和微软的InternetInformationServer(IIS)。我们在RedHatLinux上运行Apache1.3.9,在WindowsNT4.0上运行IIS4.0。并且两种都采用普通和允许SSL的版本,所以我们可以对加密和未加密的服务器的攻击做测试。
16进制编码
一种最简单的将攻击伪装的手段就是修改URL请求。作为管理员,我们一般会在日志文件中查找某些字符串,或是一些普通文本的字符集。例如我们在请求中查找匹配已知漏洞的字符串。例如,我们在我们的IIS服务器中发现了如下的字符串,我们就知道有人正在查找是否有IIS中可以远程利用的MDAC漏洞:
06:45:2510.0.2.79GET/msadc/302 |
要知道攻击者是如何躲过这种匹配检测的,请参考以下作为恶意攻击者策略一部分的请求。要确定msadc目录是否存在,攻击者可能键入以下内容:
[root@localhost/root]#nc-n10.0.2.5580 |
这就会产生我们以上所见的日志文件。攻击者可以将请求进行十六进制的ASCII字符编码。在以上的例子中,字符串msadc在十六进制编码以后就会变为6D73616463。你可以使用WindowsCharmap程序来快速的进行字符的ASCII到十六进制的转换。以上的HTTP请求,将字符串msadc用十六进制编码以后,就变成了:
[root@localhost]#nc-n10.0.2.5580 |
IIS的日志文件显示:
07:10:3910.0.2.31GET/msadc/302 |
应当注意的是,虽然采用了十六进制编码的手段,但是所产生的日志和没有使用十六进制编码的URL产生的是一样的。所以在这个例子里,编码并没有帮助攻击者逃避检测。但是,如果我们看看看Apache的日志情况,那么就是另外一个情形了。以下列出了攻击者使用来搜索某个CGI脚本的命令,后面跟着的是使用十六进制编码以后的同样命令:
[root@localhost]#nc-n10.0.0.280 |
现在我们来查看一下access_log文件:
10.10.10.10--[18/Oct/2000:08:22:47-0700]"HEAD/cgi-bin/test-cgiHTTP/1.0"2000 |
首先应注意到的是在这两个例子中都是200代码说明命令完成成功。但是在第二中情况中,日志中出现的是十六进制的值而不是明文的。如果我们是依赖于形式来对这种攻击进行检测的话,那么我们是不可能检测到所发生的攻击的。许多的入侵检测系统使用的格式匹配技术智能化都不高,并且有些产品不会将十六进制的URL转换过后进行匹配。但是不论所使用的入侵检测软件是否能够对十六进制的代码进行转换,所有的网络管理员都应当对这种伎俩有所了解。
代理服务器
因为对攻击者而言完全隐藏攻击行为是很难做到的,所以掩盖攻击的真实来源也就成为相当重要的课题了。如果黑客可以隐藏他的源IP地址的话,那么他就可以在不用担心被抓住的情况下进行攻击。而黑客用来隐藏他们的源IP地址的一种手段就是使用代理服务器。
代理服务器是被合法的用来从一个单一的访问点转发多种协议的。一般来说,内部用户必须通过代理服务器才能访问Internet,因此管理员就可以在代理服务器指定外部访问以及内部访问的限制策略。用户首先是和代理服务器建立连接,然后代理服务器就将连接请求转发到真正的目的地址。目的地址会记录下代理服务器的IP地址以作为请求的源地址,而不是最初发出请求的系统的IP地址。
但是不幸的是代理服务器在Internet上的放置太随意了。(可以查看Proxys-4-All来获得这些错误配置机器的列表。)这些服务器经常会存在配置错误使得Internet用户可以连接到这些代理服务器上。一旦某个Internet用户通过代理服务器连接到某个服务器上,该服务器就会将代理服务器的IP地址作为发出请求的源地址记录在日志中。而在被攻击服务器的日志中对攻击者的记录其IP地址是属于一个没有任何攻击行为的“无辜”主机的,而不是攻击者的真正地址。我们来看以下的例子。
下面的例子显示了黑客的攻击和攻击在日志中产生的相关信息。
攻击者 |
1.对于Word文档在打开过程中运行自动宏以及其他可能引发文件错误的自动命令,可以在按下“Shift”键的同时双击此文件打开它,这样可以有效阻止这些自动命令的运行,等正常打开文档后再另存一份即可。
2.用文件转换工具将该Word文档转换成纯文本文件,一般可以解决不能打开的问题。
3.用专业的数据修复软件来修复损坏的文档结构,比如OfficeRecovery、EasyRecovery FileRepair及OfficeFix等Office文件修复工具。
最终都没成功,在小王的“威逼利诱”下只得另辟蹊径了,考虑到用Word软件打开这个文档时会出现非法操作,用别的办公软件说不定可以打开它。首先想到的是Windows自带的写字板程序(因为它也支持Word文档的绝大部分格式):先按住“Shift”键再用鼠标右键单击该文档,在出现的右键菜单中点击“打开方式”命令,选定“WordPad”后点击“确定”按钮打开它,令人惊喜的是文档被正常打开了,而且文档内容未有丝毫损失,只是丢失了部分文档的字体字号及挪动了某些图表的位置,重新排一下版并将它保存下来(“保存类型”设置为“Word for Windows 6.0”),再用Word打开它,证实该文档已被完全修复。后来笔者又试着用WPS Office打开这个文档,发现文档内容及版式几乎没有丝毫改动,郁闷ing……
如果你也遇到Word文档打不开的情况,千万不要轻易言败呀。
Excel文件修复
1、转换格式法
就是将受损的Excel XP工作簿另存格式选为SYLK。如果可以打开受损文件,只是不能进行各种编辑和打印操作,那么建议首先尝试这种方法。
2、直接修复法
最新版本的Excel XP在“打开”窗口的“打开”按钮内有直接修复受损文件的“打开并修复”功能,这种方法适用于常规方法无法打开受损文件的情况。
3、偷梁换柱法
遇到无法打开受损的Excel XP文件时,也可以尝试使用Word来打开它。操作如下:
(1)运行Word程序,选择需要打开的Excel文件;
(2)如是首次运用Word程序打开Excel XP文件,可能会有“Microsoft Word无法导入指定的格式。这项功能目前尚未安装,是否现在安装?”的提示信息,此时可插入Microsoft Office安装盘进行安装;
(3)按照Word程序的提示选择修复整个工作簿还是某个工作表;
(4)先将文件中被损坏的数据删除,再将鼠标移动到表格中,并在菜单栏中依次执行“表格→转换→表格转换成文字”命令,选择制表符为文字分隔符,将表格内容转为文本内容,然后另存为纯文本格式文件;
(5)运行Excel XP程序,打开刚保存的文本文件;
(6)随后根据“文本导入向导”的提示就能顺利打开该文件了。
修复后的工作表与原工作表基本一样,不同的是表格中所有的公式都需重新设置,还有部分文字、数字格式丢失了。
4、自动修复法
此法适用于Excel XP程序运行出现故障关闭程序或断电导致的文件受损。重新运行Excel XP,它会自动弹出“文档恢复”窗口,并在该窗口中列出已自动恢复的所有文件。用鼠标选择要保留的文件,并单击指定文件名旁的箭头,根据需要选择“打开”、“另存为”、“显示修复”。
在缺省状态下Excel XP是不会启用自动修复功能的,因此预先设置:首先在菜单栏中依次点击“工具→选项”命令,在设置框中单击“保存”标签,将“禁用自动恢复”复选框取消,然后选中“保存自动恢复信息,每隔X分钟”复选项,并输入指定的间隔频率,最后点击“确定”完成设置。
如果还没有自动弹出“文档恢复”窗口,可以尝试用手工的方法打开自动恢复的文件:依次执行“文件→打开”命令,利用“查找范围”框定位并打开Excel XP保存自动恢复文件的文件夹,要是不知道那个文件夹的位置,可以查看“自动恢复文件保存位置”框中的路径,接着在“文件类型”选择对话框中,选中“所有文件(*.*)”选项,并选择要恢复的文件,最后单击“打开”按钮,打开文件进行自动修复。
5、工具修复法
如果上面的几种方法都不能修复文件,还可以借助专门用来修复受损Excel XP文件的“ExcelRecovery”。该软件会自动将修复程序加到Excel软件中,表现为在“文件”菜单下增添一项“Recovery”命令,它能自动以修复方式打开受损文件。
因为NTFS文件系统与FAT和FAT32文件系统完全不同,数据恢复必须采用不同的方法。然而,也有例外,这篇教程的最后一部分将讨论无论任何系统格式下都能运行的最终(last ditch)恢复技术,但是现在我们要讨论的是NTFS文件系统从一个数据恢复点是如何工作的。
如果你用Google搜索一下NTFS数据恢复技术,你可能得到最多的链接是关于卖数据恢复产品的网站。这是因为NTFS被设计可以自己执行数据恢复,而不需要使用第三方数据恢复软件或者操作。在这个工作中有两个主要技术来实现这个功能:簇重映射(cluster remapping)和事务日志(transaction logging)。
簇重映射
簇重映射是通过自动方式把数据从硬盘包含坏的分区的簇上自动移动到良好的簇的技术。簇重映射的结构不用,取决于包含这个坏的扇区的卷是否是容错的,而且坏的扇区在读写过程中是否被发现。
让我们讨论一下在没有容错的卷上写入的操作,当数据被写入NTFS卷,操作系统在写的操作时把检查扇区做为确认进程的一部分,如果操作系统检测到一个扇区是损坏的。Windows标记整个簇都是损坏的,这样它在将来就不往这个簇上存储数据。(这是因为簇不能被再细分)数据将被存储到良好的簇内,这样不会有数据损失。
但是如果这个坏的扇区在读取时候被检测到,情况就不一样了。操作系统将返回一个读取错误的消息来响应被数据请求。这里有几种不同的理论关于接下来如何解决这个问题。一些资料表示,一旦这个读取错误发生,Windows把这个扇区和其中的簇标记为损坏,所以簇其中的数据将完全丢失。另外一些资料说,如果这个数据的一部分能读出来,Windows在标记这个扇区为损坏之前,把这些数据移到另一个簇。如果有读者知道关于权威地描述这个问题的微软资料,麻烦告知我(http://www.sitit.com)。
使用KV3000修复硬盘数据
手动重建主引导扇区和I/O表
有一块容量为8.4G,分了C,D,E三个分区,安装的是WINDOWS98第二版的操作系统的硬盘,在使用过程中出现了如下现象:
1.硬盘无法自引导,开机即显示“DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER",在BIOS中可以检测到该硬盘为8.4G;
2.用软盘可引导至A提示符下,键入C:,D:,E:回车后均显示“Invalid drive specification",之后仍在A提示符下。
根据以上情况分析出现的问题:上述的错误提示,初步可以判断为硬盘的分区表或是主引导扇区0扇区——MBR出现错误所至(如果BIOS检测不到硬盘,则说明硬盘的电路板有问题)。现在用KV3000的F6(硬盘急救箱)功能查看该硬盘扇区。接下来用软盘启动计算机并运行KV3000.EXE,进入KV3000主画面,按下F6键,发现0面0磁道1扇区即通常所说的0扇区已经被清零了,再按下F6,启动搜索硬盘分区的功能,再按下F2可以搜索出硬盘各个分区,如下显示:
Hard Disk Total sector Total Bytes Partition Table Sector
Disk D:3.150G 6152832 003150249984 in 000004192965
Disk E:3.150G 6152832 003150249984 in 000010345860
注意:
1.因为F2只是搜索硬盘扩展分区表,所以此时不显示主分区C;
2.以上显示不一定是绝对正确的,要进一步判断其正确性。
下面回到0扇区,按F3键,再输入4192965,即D区分区表所在扇区,直接翻到该扇区,发现确有一个分区表为:
0001 41050BFE BF833F00
000080E2 5D000000 818405FE 3F02BFE2 5D00BFE2 5D000000
从这个表上看,第5个字节的位置是“0B”,表示该分区为FAT32格式。再向后翻63个扇区发现其I/O表也正常,后面的FAT(文件分配表)表及DIR(目录区)区也均在,可以初步认为该分区正确。用同样方法再检查10345860扇区即E盘分区表及以后扇区,判断基本正常,说明搜索到的应为正确分区表。
接下来按F2查看C盘BOOT区,如果这时C盘BOOT区也就是63扇区正常,则可以用KV3000的F10功能键自动重建C盘主引导扇区,但此时发现该扇区也被清零,当然也必须手动重建,因为位于0磁道1柱面1扇区即63扇区的应该是DBR(Dos Boot Record)表,是操作系统引导记录区也叫做I/O表,如果DBR表被破坏,则会使操作系统在读写磁盘时无法进行磁盘定位,导致不能读取硬盘上的数据。
现在该硬盘不能引导和读取数据的原因基本上已经找到,主要是0扇区和63扇区被清零,下面开始手动重建这两个扇区,恢复数据。
一.重建硬盘主引导区(0扇区):
该扇区由“主引导记录+分区表+55AA有效标志”组成,通常也可以分别称作第一关键字,第二关键字和第三关键字。主引导记录即第一关键字中包含了一段引导程序,其主要作用是检查分区表是否正确,并且在系统硬件完成自检后引导具有激活标志的分区上的操作系统,并将控制权交给启动程序。它是由分区程序(如Fdisk等)所产生的。KV3000在此方面具有强大的功能,第一关键字完全可以用KV3000/K来自动重建。
下面只需将第二关键字(分区表)及第三关键字55AA标志手动重建。
(1)第二关键字是从0扇区的第446字节处开始的,首先在这里建立“80”,该字节是一个分区的激活标志,表示系统可以引导,该字节为“80”表示此分区为活动分区;为“00"表示此分区不可自举,是非活动分区;
(2)后面再填入一个字节“01”,表示该分区起始磁头号;
(3)后面是“0100”,是一个字,表示该分区起始扇区号及起始柱面号,需要说明的是对于此硬盘,因为C区是小于8G的,所以这里的起始扇区号只用到了低六位,而其高两位给了起始柱面号作为起始柱面号的高两位,也就是说起始柱面号应为十位。
(4)下面一个字节处应填写C盘文件格式标志,如果是FAT32格式且容量小于8G,此处应为“0B”,大于8G应为“0C”;FAT16格式为“06”,NTFS为“07”。对于此硬盘,从63扇区向后翻一个扇区即64扇区就发现有FAT表的标志(通常FAT表扇区的前四个字节处为“F8FFFF7F”),再往后翻可分析出是正确的FAT表,所以该分区为FAT16格式(一般FAT32的FAT表是从95扇区开始的),所以在此处填上“06”。
(5)在(后面)结论一的第6个字节处填入“FE”,它表示该分区结束磁头号。从硬盘救护箱的顶部可查看到Head=255,表示该硬盘有255个磁头或说是255个面,因为磁头编号是从0开始,所以结束磁头号应为255-1=254,转化成十六进制即为“FE”。
(6)再往后应为一个字,写入“7F04”,它表示该分区的结束扇区号和结束柱面号,依然如起始扇区和柱面号一样,结束扇区号只占低六位,结束号占十位。
(7)后面的一个双字填写“3F000000”是绝对引导扇区,即63个隐含扇区。硬盘中涉及一种低位在前高位在后的存储数字方式,读出时应对其进行调整。即实际十六进制值为“0000003F”,转换后成为十进制值是63。
(8)在结论一的A处也是一个双字,它表示C盘绝对扇区数,具体计算方法可用D区的分区表所在扇区位置减去63扇区,即4192965-63=4192902。再将其转换成十六进制,按低位在前高位在后的存储方式交换得“86FA3F00”。
(9)在结论一中的A以后是指向以后分区的链表。“00”这个字节表示下一个分区是不可自举的非活动分区。
(10)再往后1个字节也是“00”,它表示下一个分区的起始磁头号。
(11)在结论一中的B处是一个字,是指向下一个分区的起始扇区号和柱面号,即把D区分区表的起始扇区和柱面号写过来即可,所以应填入“4105”。
(12)在结论一中的C处,“0F”这个字节表示分区类型,通常“0F”代表主DOS分区,“05”代表扩展DOS分区,所以此处应填“0F”。
(13)在结论一的D字节处表示下一个分区的结束磁头号,可以从D区的分区表中得出并照抄,即“FE”。
(14)在结论一中的E处是一个字,代表下一个分区的结束扇区号和结束柱面号,同样可以从D区的分区表中得出并照抄,即“BF83”。
(15)在结论一中的F处为一个双字,是下一个分区的起始扇区位置,按照搜索到的D区分区表所在位置应为4192965,把它转换成十六进制为“003FFAC5”,再按按低位在前高位在后存储格式调整成为“C5FA 3F00”。
(16)在结论一中的G处也是一个双字,代表扩展分区的总扇区数,即应将搜索到的D区和E区的扇区数相加,再加上两个63(因每个分区都有63个隐含扇区,也应算在内),也就是说6152832+63+6152832+63=12305800,再转换成十六进制并按低位在前高位在后排列成为“7EC5 BB00”。
以上为0扇区分区表的所有内容,已经推出,现只需按F1键翻到0扇区,再按F5功能键进入编辑状态,把上面推算出来的数字从446字节开始按顺序输入:
8001 010006FE 7F043F00
000086FA 3F000000 4105 0F FE BF83 C5FA 3F00 7EC5 BB000000
A B C D E F G
(结论一)
然后再在该扇区最后两个字节处写入“55AA”,然后按Ctrl+F10功能键保存后,发现“80"和“55AA”处开始变红并闪烁。现在重新用软盘启动计算机,键入C:回车后已经可以进入,但DIR列表却显示:
Invalid media type reading drive C
Abort, Retry, Fail?
这是63扇区仍为零的原因,再查看D,E分区,均已正常,说明最初的判断和刚刚填写的分区表均为正确的。现在还需使用KV3000/K命令重建0扇区的第一关键字MBR区,把0扇区补充完整,否则即使63扇区正确,硬盘也将无法自启动。方法是将KV3000的A号盘插入软驱,在A:>提示符下键入KV3000/K回车,出现界面后按下C,再按两次“Y”确认即可。现在重新启动,用KV3000的F6功能进入0扇区可以看出已基本正常。
二.下面开始重建63扇区:
因为前面已经判断出该分区应为FAT16格式,故此处需按FAT16的I/O表格式写入。
(1)该扇区的前数3个字节处是一个跳转指令,它可以使启动程序跳转到引导代码,每个硬盘的这几个字节不尽相同,可先写入“EB3C90”。
(2)从第4个字节到第11个字节处是一些厂商标识和操作系统的版本号,可暂时不填。
(3)(参照结论二)在A的位置是一个字,它表示该硬盘每个扇区包含多少个字节,通常每个扇区都是512字节,把此数转换并调整后即成“00 02”。
(4)后面的一个字节处为每个簇的扇区数,簇是数据文件在磁盘上存储的一个基本单位,因硬盘大小不一,所以簇所包含的扇区数也不同(它一定是2的整数倍),一般来说,此数可通过查看目录区扇区数的方法来确定,这里应填写“40”。(查找目录区的方法下会提到,此数为十六进制数)。
(5)结论二中的B处为一个字,表示保留扇区(用于引导DOS等)数,此数可以理解为是从I/O表到FAT表1的相隔扇区数。因为该分区的I/O表向后翻1个扇区即64扇区就是FAT1表的头,故此处是“0001”,按低位在前高位在后写入应为“0100”。
(6)再往后的一个字节处是文件分配表的份数,因为FAT表比较重要,且一旦被破坏将很难恢复,所以一般都有两份FAT表,FAT表2为FAT表1的备份,所以填写“02”。
(7)结论二中的C处代表该硬盘根目录的项数(即所允许的最大目录项数),此处占两个字节,一般填入“0200”。
(8)结论二中的D处是磁介质类型说明符,硬盘多为“F8”。
(9)结论二中的E处表示每个FAT表所占用的扇区数。该数算法是先用KV3000硬盘救护箱的F4搜索字符串功能,查找“BOOTLOG.TXT"文件,这是C盘根目录下的一个文件(也可以搜索其它文件),即可找到目录区了,然后把这个扇区数记下,为576扇区,因为有两份FAT表,所以该FAT表的扇区数应为(576-64)/2=256,转换成十六进制为“0100h"再交换位以后此处应填入“0001”。
(10)结论二中的F处是一个字,表示每磁道(柱面)的扇区数,查看顶部即知Sector=63,也就是说每磁道63个扇区,转换调整为“3F00”。
(11)再往后的一个字处为该硬盘磁头数,依然查看顶部显示Head=255,转换成十六进制是“00FFh",按低位在前高位在后应写为“FF00”。
(12)结论二中的G处是双字,表示当前分区前面的隐含扇区数,共有63扇区,故此处应写入“3F000000”。
(13)结论二中的H处的双字表示该分区的总扇区数,此数不包含63个隐含扇区,它应该与结论一中的A标志位置处的数字相同,所以照抄过来即“86FA3F00”。
现在依然用F5编辑功能将上述数字写入63扇区,并用Ctrl+F10键确认保存:
EB3C9000 00000000 00000000 02400100 02000200 00F8 0001
A B C D E
3F00 FF00 3F000000 86FA3F00
F G H
(结论二)
现在再用引导盘重新启动计算机,引导至DOS操作系统,查看各分区情况,发现均已正常,而且数据都在。此时我们还需用相同版本的WINDOWS98启动盘启动并执行SYS A:C:回车来传入系统文件,使WINDOWS98系统可以正常启动。(这样I/O表即可补充完整)。
以上把主引导扇区0扇区及I/O表63扇区已重建完毕,重新启动计算机后发现硬盘已可以自引导并进入WINDOWS98系统,一切数据文件恢复正常。
注:以上是以一个C区为FAT16分区格式的硬盘为例的修复过程,有一定的局限性,仅供参考,而且因为硬盘出现的问题是多种多样的,应对具体问题具体分析。
现在选择IDE磁盘阵列卡(IDE RAID卡)来确保数据安全的人越来越多,如何正确使用IDE RAID卡也是个学问。下面我们就以采用HPT370A/372控制芯片的Rocket100 RAID卡为例来给大家做些讲解常见故障与技巧。
安装需知
先找一个空闲的PCI插槽将该卡插进去并将硬盘用硬盘线和该卡安装连接好,安装完适配卡后,在启动计算机的过程中,你会看到该适配卡已成功安装并被系统识别。而在系统开机时,其控制器的BIOS会显示硬盘状态的信息,按CTRL+H即可进入结构非常清楚的设置菜单,在这里你可以设定磁盘阵列:两个硬盘可以选择条带模式(RAID 0)和镜像模式(RAID 1),有三块硬盘的话只能选跨越扩充或条带模式,而四块就可以选跨越模式、条带模式或条带结合镜像模式(RAID 0+1),而选用RAID 1的话硬盘必须进行同步化。
常见安装故障排除
当Rocket100 RAID卡被识别后,板上BIOS开始检测连接设备。请注意屏幕上出现的设备,如果所连接设备全部被正确扫描出,则说明设备已正确连接并被系统识别,再安装好驱动之后你即可使用RAID功能了。而如果其中有的设备没有被识别出,你可打开机箱,将所连接设备的电源线是否插牢,必要时换一个电源插头试一试;所连接设备的数据线是否正确连接并已插牢,必要时换一根数据线试一试;如果一根数据线上接有两个设备,请确认这两个设备的主从跳线是否设置冲突(一根数据线上的两个设备必须为一主一从)。
硬盘容量的选择
考虑到系统的操作性能及磁盘的利用率,我们建议你最好使同样容量的硬盘。但你如果一定要用不同容量的磁盘,需要注意的是整个阵列的容量要由该阵列中最小容量的硬盘决定,例如在由3个磁盘组成的RAID 0阵列中,总容量等于最小磁盘的容量的3倍。在RAID 1阵列中,目标盘的容量不能小于源盘的容量。该阵列的总容量就等于最小磁盘的容量。但是JBOD是个例外,两个或更多的不同容量的硬盘可以组合起来,形成一个逻辑单盘。
BIOS设置须知
IDE RAID卡是即插即用设备,所以,你不必改变系统CMOS。系统会自动指出中断及端口的地址。而在CMOS设置中将所有设备处于none或unstalled状态时,即可将IDE RAID卡设为启动卡;或将SCSI设备调为启动序列的第1位,也可将RAID卡设为启动卡。
RAID损坏了怎么办
如果一个RAID级别被破坏了,可以按以下操作进行检查:先关闭计算机的电源,检查硬盘电源的连接,以及数据线是否与硬盘和RAID控制卡连接正常再重新开机;如果以上操作仍不能解决问题,可能是硬盘的问题,对于RAID 1和RAID 0+1,可以用一个新的硬盘将已经被破坏的硬盘上的数据进行备份,所有的数据都不会丢失的。对于RAID 0和JBOD,必须先删除原有的RAID级别,再进行RAID创建,但要注意,此动作会使硬盘的所有数据丢失,所以,对RAID 0和JBOD,请务必经常对数据进行备份。
那数据为什么能恢复呢?这主要取决于硬盘数据的存储原理。先看一下硬盘上数据存放的原理吧。硬盘中由一组金属材料为基层的盘片组成,盘片上附着磁性涂层,靠硬盘本身转动和磁头的移动来读写数据的。其中最外面的一圈称为“0”磁道。上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最重要的信息。我们存放在硬盘上的每一个文件都在这里有登记,相当于文件的户口簿。在读取文件时,首先要寻找0磁道的有关文件的初始扇区,然后按图索骥,才能找到文件的老巢。但是删除就不一样了,系统仅仅对零磁道的文件信息打上删除标准。但这个文件本身并没有被清除。只是文件占用的空间在系统中被显示为释放,而且,当你下次往硬盘上存储文件时,系统将会优先考虑真正的空白区,只有这些区域被用完以后,才会覆盖上述被删文件实际占有的空间。另外,即使硬盘格式化后(如Format),只要及时抢救,还是有很大希望的。下面我就向大家做详细的介绍。
EasyRecovery是一个威力非常强大的硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。下面我们就以EasyRecovery为例,介绍删除软件恢复的过程。
一、回收站里被删除文件
首先我们启动EasyRecovery,点击左边列表中的“数据修复”。
数据修复里面有六个选项,我们点击“DeletedRecovery”,它的功能是查找并恢复已删除的文件。
选择要恢复文件所在的分区,在默认情况下软件对分区执行的是快速扫描,如果你需要对分区进行更彻底的扫描,就在“完成扫描”前打上勾就行了,选择好分区后,我们点击“下一步”。点击下一步后,软件就开始扫描你刚才选择的分区了。
经过3~4分钟的扫描后结果就出来了,你点击左面文件夹列表中的文件夹,在右面列出来到文件就是能被恢复的删除文件,选择一个要恢复的文件,一定要把前面的勾打上,然后点击“下一步”。
选择好要恢复的文件后,我们就来选择恢复目标的选项,一般我们都是恢复到本地驱动器里的,那么我们点击后面的“浏览“来选择文件保存的目录(选择分区时请注意,保存的分区不能与文件原来所在的分区一样,否则不能保存)。
点击下一步后,文件就开始恢复了,恢复完成后,弹出一个对话框显示文件恢复摘要,你可以进行保存或者打印,然后点击“完成”。一个文件就被恢复了。
二、格式化后文件的恢复
如果要恢复格式化后的文件,以前我们想都不敢想,现在不用怕了,因为我们有了EasyRecovery。
在软件界面我们点击“FormatRecovery”,它的功能就是能从一个已经格式化的分区中恢复文件。
先选择我们已经格式化的分区,然后再选择这个分区格式化前的文件系统格式,现在一般都是
“FAT32”,选好后点击“下一步”。
软件就开始进行文件的扫描了。
扫描完成后,我们选择一个要恢复的文件,方法和前面的一样,然后点击“下一步”。
然后我们来选择恢复文件要保存的目录,再点击“下一步”。
接着文件就开始恢复了,恢复完成后,弹出一个对话框显示文件恢复摘要,你可以进行保存或者打印,最后点击“完成”。
EasyRecovery
不仅能恢复被删除的文件,它还能恢复被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块、分区表、FAT表、引导区等都可以由它来进行恢复;而且最新的6.0版本使用了新的数据恢复引擎,能够对 ZIP 文件以及微软的 Office系列文档进行修复。如果你以前有重要的文件被误删除过,那就赶快安装EasyRecovery来恢复吧,只要时间相隔的不要太久(相隔太久原来删除的文件就有可能被覆盖掉的),相信一定能够恢复的!
注:虽然说系统文件被删,我们能通过技术手段找回数据,但是建议大家在删除文件的时候还是要注意,必定恢复起来很麻烦,如果不能恢复,损失就比较大了
战略规划设想
企业应该首先定义企业对于应用服务可用性和灾难恢复的要求。在早期忽视这些要求通常会导致解决方案不能满足企业的需求,并且最终将要求企业对结构进行重大调整,以改善服务。
Gartner建议建立一个分类机制,对受支持的服务级和相关费用进行分类。它们能促使企业在开发和应用结构上投入精力和资金。然后,管理者将针对某个特定的服务类型建立一个业务案例。从灾难恢复角度看,企业应该在进行业务影响分析和制定恢复战略这一阶段建立该案例。服务级定义应包括预定的正常运行时间及其可用性百分比、恢复时间和恢复点目标(RPO)。“可用性”是指服务的日常可用性。“恢复”是指从企业一个影响业务流程的重大事件(如硬件故障或自然灾难)中恢复运转的时间。在这个例子中,“1 类应用服务”是指制定了实时企业(RTE)战略的关键服务,如果没有这些服务,企业将遭受不可挽回的损失。灾难恢复结构可能会在两个物理站点上实施。
行动方案
建立一个服务级分类系统,确定有关开发、基础设施和操作结构要求。最有效的流程是重复的流程。
Gartner 业务连贯性成熟度模式基于这样一个原则,即企业的业务连贯性计划的质量将直接与业务连贯性管理(BCM)流程和用来创建和维护该计划的实践的质量和成熟度有关。Gartner 业务连贯性成熟度模式基于一个分段结构,其中包括5个发展或成熟级,后面一级以前面一级为基础。
成熟度模式的原则是企业制定和采用新的流程和实践,并从中了解、优化和移向下一个成熟级。各步骤之间存在一个逻辑顺序,企业不能跳过某个成熟级,虽然企业经历各个阶段的速度因其投入、文化和背景的不同而不同。该模式是一个有用的诊断工具。
虽然企业应该尽力改善其业务连贯性流程和实践,但它们不一定要把服务级分类中的第五级设定为目标。要想达到令股东满意的风险应对水平,企业不一定需要上升至此,但三级是企业可以接受的最低级别。
高可用性技术
恢复时间目标(RTO)定义了在某个事件发生后,系统的信息系统、服务和流程迅速恢复运行所需的时间,其中包括应用和数据的恢复以及接入这些应用的最终用户的恢复。
RPO标志着在哪个时间点以内,企业还可以利用备份、日志或交易记录来恢复数据。它定义了可以接受的数据丢失程度。许多企业认为,如果发生灾难,它们将利用最后的备份进行恢复,但这一时间可能会长达24小时。
在费用和RPO之间存在大量的平衡点。企业通过脱机备份并移动数据和应用以及签订合同获取其他处理能力(如热站恢复服务、辅助数据中心和快速装运计划)就可以实现24~72小时(或者72小时以上)的标准RPO。应用和数据的恢复由以下流程组成:将磁带传送至恢复设施,装载磁带,重新启动应用和用户访问。所有高可用性方法都需要一个与生产系统连接的备份数据中心(企业内部拥有或者由服务提供商提供)。Gartner描述了不同的高可用性方法之间的相对费用差异。
可以缩短RTO 和RPO 的技术包括:
- 电子仓库可以支持企业将每天的备份通过电子方式传送到恢复设施上,在灾难发生时就可以缩短传送的时间。通常,生产服务器是通过网络与恢复设施上的磁带连接的,但有时也需要中间主机。此外,根据备份数据的数量,可能还需要按需网络服务(短期内的高带宽)或直接网络连接。电子仓库能缩短RTO,但它不影响RPO。
- 电子日志通过电子方式持续或按预定间隔时间传送自上次备份以来出现的数据库或文件系统变化。这通常是通过专用网络实现的。该网络将日志传送至恢复设施上的一个专用服务器,然后再传送至磁带。电子日志能缩短RPO,因为数据在中断事故发生以后很快就能恢复。它还能缩短将日志传送到恢复设施上所需的时间,从而缩短了RTO。
- 影化能创建数据库或文件系统的复制品,通常采取的手段是持续捕捉变化并将这些变化应用于恢复站点。影化是一个异步流程,因此需要的网络带宽比同步镜像的少,而且比日志所需的带宽大或者与之持平,但它需要的硬件容量要大一些,因为它需要不断地应用功能。RTO被大幅缩短了(通常在1~8小时内,取决于适用日志的滞后时间),而RPO则与最后一次接收和应用日志的时间接近。
- 镜像能创建数据库或文件系统的复制品,采取的手段是将灾难恢复设施上的变化与主站点上的变化前后应用或同步应用。因此,RTO将被缩短,从20分钟到几个小时不等。而RPO也被缩短到只有未完成的工作丢失。带宽太小或延误过长将削弱生产系统的性能。备份站点上还需要使用专用硬件(如服务器或磁盘子系统,或者两种都需要)。
- 几个物理站点之间的负载平衡对于非事务型应用而言很常见。通常,事务型应用都放置在一个站点上,而热备份则放置在其它地方,这降低了恢复的复杂性,而且为冲突的解决提供了机会。
- 热备份系统,如广域群集器,能提供时间最快的可恢复性,通常从几分钟到一小时不等,因为恢复系统配备了影化或镜像功能以及热备份应用环境,由运行应用所需的能力构成。此外,自动化灾难检测和应用恢复能力是减少宕机时间的必要条件。如果发生了灾难性故障或站点灾难,那么热备份系统将自动检测故障并开始恢复流程,包括重新启动应用和驱动网络接入。
根据使用的应用、平台和高可用性方法的不同,企业在24小时以内成功恢复运行需要支出高额要想选择正确的技术和支出水平,企业必需了解业务流程宕机带来的直接和间接费用,这通常是通过业务影响分析计算得出的。了解每个业务流程的可以接受的技术支持限制有助于企业缩小恢复方案的选择范围。
行动方案
虽然快速RTE 恢复费用昂贵,但其它方案?D在3或4天内恢复?D?D可能会威胁到企业的生存。企业应利用商务影响分析来帮助评估恢复投资回报。
对于1类应用服务和2类应用服务(RTO 和RPO 较短),可以使用多站点结构。通常,新的RTE应用服务开始时采用的是单一站点结构,并随着风险的加大而转向多个站点。多站点的应用结构设计较为复杂(例如设计中必须包含负载平衡、数据库分区、数据库复制和站点同步化等内容)。对于非事务处理型应用而言,多个站点可同时运行,将用户与最近的站点或使用量最小的站点连接。
为了简化复杂性,大多数事务处理型应用都将数据库或磁盘复制在另一个站点上,但在灾难没有发生时,备用数据库是空闲的。转换至备用站点通常需要15~30分钟。有些企业倾向于将数据库分区,在站点之间分摊事务处理负载,并且将用于决策支持和报告的数据综合在一起。这将降低站点中断造成的影响,使它只能影响到一部分用户。其他企业则比较倾向于更加复杂的结构,在这些结构中,站点之间具有双向复制能力,能保持单一数据库影像。
所有应用服务都需要在灾难恢复战略中包含端-端数据备份和脱机存储。通常,灾难恢复结构将实施指定时间复制,以驱动同步备份和恢复(涉及许多系统)。3类应用服务和4类应用服务通常通过备用站点上的磁带进行恢复。
外包决策
在定义了灾难恢复服务级以后,企业应评估灾难恢复战略:
- 1 类服务面向关键的应用,其RTO和RPO从几分钟到1小时或2小时不等。
- 2 类服务提供的RPO为4小时,RTO为1天以内?D?D能满足那些希望将数据影化到恢复设施上的企业的要求。
- 3 类服务提供标准磁带恢复――这些服务通常是外包的。
- 4 类服务提供的恢复时间较长,可以使企业通过签订快速装运服务合同来降低费用。
业务连贯性流程中的很多功都不能外包,但许多设备和劳动力可以外包。
我已经在博客网落户了,欢迎你时常过来看看,大家多多交流哦。我会在这里记录我的工作也会记录我的心情与你分享。也希望你记住我的地址,你可以把她添加到你的收藏夹(Ctrl+D),也可以把她复制下来告诉你的朋友们
我的博客地址: http://lengxh2008.bokee.com
最新评论
