|
【文章来源:效率源科技(微信号)】微信号:xiaolvyuantec
编者按:本期感谢数据恢复四川省重点实验室科研人员带来关于服务器阵列RAID 5、RAID 6崩溃后数据恢复取证技术的研究成果,提供一种成功率更高、操作更简单的新方法,能有效应对服务器阵列崩溃难以提取数据的取证难题。
在案件调查中,取证人员经常会遇到服务器取证的案例,而服务器一般都会存储大量的重要数据,很可能就记录着最重要的线索,如果能够直接提取,对于案件侦破可能起到关键作用。但由于服务器结构复杂,且可能因为黑客攻击、系统异常、硬件老化等原因造成系统崩溃,要实现直接取证很有难度。目前,市面上有一些能对服务器数据进行重组和恢复的方法,但普遍需要专业人士才能够完成操作,而且恢复速度慢、正确率不高。研究一种普通取证人员都会使用的专业技术,对于电子取证非常重要。
一、简介
1、认识服务器
服务器,是提供计算服务的设备。服务器的构成包括处理器、硬盘、内存、系统总线等,和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。在网络环境下,根据服务器提供的服务类型不同,分为文件服务器、数据库服务器、应用程序服务器、WEB服务器等。如图所示,服务器外形有很多种。
服务器多采用阵列结构存储数据,磁盘阵列是由很多价格较便宜的磁盘,组合成一个容量巨大的磁盘组,将数据切割成许多区段,分别存放在各个硬盘上,常见阵列级别是RAID 5、RAID 6。
2、RAID 5使用信价比较高
RAID 5 是一种存储性能、数据安全和存储成本兼顾的存储解决方案。RAID 5不对存储的数据进行备份,而是把数据和相对应的奇偶校验信息存储到组成RAID5的各个磁盘上,并且奇偶校验信息和相对应的数据分别存储于不同的磁盘上。当RAID5的一个磁盘数据发生损坏后,利用剩下的数据和相应的奇偶校验信息去恢复被损坏的数据。
3、RAID 6 数据冗余性能好
RAID6是指带有两种分布存储的奇偶校验码的独立硬盘结构,两个独立的校验系统使用不同的算法,数据的可靠性非常高。主要针对数据绝对不能出错的场合,如大存储资源的企事业单位,例如影音多媒体数字内容创作公司、个人影音剪辑数字内容工作室、证券、银行等金融行业、数字监控系统(DVR)、网络监控系统(NVR)等。
RAID6技术是在RAID 5基础上,为了进一步加强数据保护而设计的一种RAID方式,实际上是一种扩展RAID 5等级。与RAID 5的不同之处在于除了每个硬盘上都有同级数据XOR校验区外,还有一个针对每个数据块的XOR校验区。这样一来,每个数据块有了两个校验保护屏障(一个分层校验,一个是总体校验),因此RAID 6的数据冗余性能相当好。
4、RAID 阵列被黑可能是一场灾难
由此可见,服务器阵列是一种存储海量数据的好方法。但是,如果RAID阵列出现故障,比如黑客攻击、硬件老化等,那后果往往也是灾难性的,所有数据全部丢失。如果在案件侦查中遇到服务器阵列崩溃,可能会导致整个案件陷入僵局。因此,针对RAID阵列的重组和数据恢复就必不可少了。目前市面上有一些针对RAID阵列的数据重组和恢复的方法,但是都需要专业人士才能够完成操作,恢复速度慢、正确率不高。研究一种普通人可以使用的专业技术,对于电子取证非常重要。下面就以最常用的RAID 5 与RAID6为例详细介绍。
二、技术方案
据数据恢复四川省重点实验室科研人员介绍,现在有一种全新的技术解决方案,可以快速解析整个阵列结构速度快,数据重组速度快,数据恢复成功率高。
在服务器RAID 5 与RAID6 阵列中,参数包括磁盘顺序、区段(条带大小)、组合方式。我们组建阵列后,会在阵列上格式化文件系统,而阵列的这些参数就可以通过文件系统的参数来分析判断,下面以NTFS文件系统的阵列为例讲解。
1、分析阵列参数
高版本NTFS系统的MFT项是按照顺序依次编号的,MFT会被均匀地分布在阵列的每个硬盘中,可以依据MFT的排序与分布的大小得到阵列参数。首先,需要借助十六进制查看器加载阵列数据盘,在此,借助DRS数据恢复系统“阵列重组功能”中的十六进制查看功能可以直接查看加载的源盘,得到下图。当然,也可通过Winhex、十六进制工具等进行查看。
其中,A与B就是分析条带大小与顺序的重要参数:A是MFT的标记,B是MFT的排列序号。
结合如下图数据排列规律与MFT的排列序号就可以分析阵列参数。
图中A1、A2、A3、Ap是3个连续数据块与他们的校验值分别存储在阵列四个硬盘上,使用标记A在磁盘上找到MFT位置,查看B处序号的变化规律,在一个磁盘上找到B处编号从连续到不连续记录,此处就是阵列一个区段的开始。从此处开始到下一个不连续处是一个阵列区段大小,将每个硬盘中区段开始B位置的参数记录。通过手动分析记录至少一个循环周期参数,具体如下图:
根据记录的参数与阵列排列顺序可以重组阵列,提取相关阵列中数据。
2、重组阵列数据
重组阵列数据是一个难点,因为分析参数使用的方式与手段较为复杂,不易快速重组成功。在此,推荐使用效率源DRS数据恢复系统,可以自动重组阵列,如下图所示:
3、提取阵列数据
将重组好的阵列,使用数据恢复软件扫描就可以快速提取出数据。当然,也可直接使用DRS的“数据恢复”模块,一键完成,“列表区”将显示相关数据的详细信息,包括文件名、文件类型、文件大小、常见日期、修改日期、偏移位置等等,具体效果如下图“黄色框”所示(文件敏感信息已马赛克处理):
3、总结
与常规的阵列恢复方法相比,本技术方案的核心是快速准确的解析出相关参数,并且能够成功组建阵列恢复出所需文件,能够利用DBR特征和MFT特征快速扫描并得到整个阵列结构,准确区分数据区与校验区数据,利用RIAD5、RIAD6的常见阵列排列方式进行数据匹配重组,可应对一块硬盘丢失和两块硬盘丢失的数据恢复。解析整个阵列结构速度快,数据重组速度快,数据恢复成功率高。同时,该技术方案已经嵌入到效率源拳头产品DRS数据恢复系统中,相对繁琐复杂的过程都只需“一键操作”,一线取证人员很快就能掌握使用要领,第一时间获取所有相关线索。
|
|