Data recovery after VMFS lose

 

Имел за последние две недели пару интересных бесед, на животрепещущую тему “да, админ не профессионал, бекапы не делал, но как бы теперь достать данные с порушенного VMFS?”.

 

В общем-то, оба раза это были не столько вопросы, сколько со мной делились опытом.

 

Случай один, представитель компании, занимающейся восстановлением данных.

 

К сожалению, законченной инструкции не получается, но полезным оказаться может.

Итак, ко мне в скайп постучались с вопросом восстановления данных с убитого раздела VMFS.

Я начал с риторического вопроса про бекап – я, в общем-то понимаю, что в таком контексте это звучит как издевка, но спросить то надо.

Продолжил я ссылкой на свою подборку средств доступа к проблемному vmfs-хранилищу и починке после случайного удаления\форматирования.

Не помогло.

Тогда я расписался в бессилии помочь.

Однако, спустя время, со мной снова связались, уже не с целью узнать, а с целью научить:

kirill: решил вопрос, данные поднял.
на уровне шестнадцатиричного кода все решал

kirill: нашел раздел NTFS
хорошо, хоть NTFS был

kirill: и склеивал по таблице его
95% целых данных получилось!

mikhail.mikheev: круто. чем пользовались?

kirill: winhex )
я искал только файловую систему самой вир.машины
это 16-ричный редактор, незаменимая вещь в data reсovery
довольно много функций

mikhail.mikheev: а как выглядит начало ntfs вы откуда знали?
kirill: любой диск с NTFS можно открыть и посмотреть
mikhail.mikheev: логично
kirill: обычно он на таких дисказ в 63 секторе
mikhail.mikheev: просто вдруг там какая автоматизация есть такого поиска
kirill: автоматом можно пробовать искать, но результат будет не очень

kirill: я вообще занимаюсь восстановлением данных с любых цифровых носителей

kirill: так что если что - обращайтесь
mikhail.mikheev: спасибо, буду иметь в виду

kirill: icanrc.ru
kirill: немного саморекламы)))

mikhail.mikheev: вот вам winhex помог найти начало vmdk файла, по сути, так ведь?
kirill: помог
но он был битый
mikhail.mikheev: и вы небось слили образ как-то отдельно
mikhail.mikheev: и потом обычным образом чинили?
kirill: именно
mikhail.mikheev: а как слили образ?
kirill: в файл
mikhail.mikheev: winhex это умеет в смысле?
kirill: да
mikhail.mikheev: а конец партиции тоже по каким то признакам можно найти?
kirill: данном случае я его не нашел
вообще можно, но конец раздела сложнее найти, чем скажем окончании записи MFT

mikhail.mikheev: а что такое mft?
kirill: таблица размещения файлов
mikhail.mikheev: в смысле тоже структура ntfs?
kirill: да, часть его
mikhail.mikheev: и что с ней можно сделать потом?
kirill: составить карту занятых секторов
склеить
сделать клон и слить данные
mikhail.mikheev: а чем это делается?
kirill: winhex)))
mikhail.mikheev: ))

а где нибудь почитать про такие манипуляции можно?
или это сакральные тайны?
kirill: вообще 90 - опыт
10% документация по NTFS
можно поискать
как она устроена
но никто не пишет как склеить, ка скопировать, определить и т д

http://icanrc.ru/

 

Вторым было письмо – простое письмо о той же проблеме – восстановления данных с порушенного VMFS.

Тут идея была еще проще – взяли R-Studeio, натравили на диск, достали большую часть данных.

 

После этого письма я не утерпел и попробовал:

• создал iSCSI LUN
• отформатировал в VMFS
• создал на нем ВМ с Windows, создал на ее диске файл wordpad
• удалил сначала ВМ – delete from disk
• затем удалил весь VMFS

 

После этого я подмонтировал этот же iSCSI LUN к своему ноутбуку, и натравил на диск R-Studio.

Час с небольшим анализировался 15-гигабайтный LUN, после чего программа смогла восстановить тот мой текстовый файл.

 

VMFS используется как файловая система для адресации и управления блокировками. Данные гостевых файловых систем лежат как таковые – утилиты восстановления данных способны их обнаружить не зная что такое VMFS.