Pemulihan pengetahuan menjadi hal yang paling menarik ketika ada banyak tantangan yang harus dihadapi, jadi menggabungkan kegagalan RAID dengan penghapusan file dari sistem file UNIX UFS memberikan peningkatan pada pemulihan data yang sangat menantang.
Amankan detailnya
Aspek pertama dari operasi ini adalah pengamanan fakta. Perusahaan pemulihan informasi mana pun yang terkemuka, dan ada banyak, akan dengan setia mengamankan semua data yang tersedia sebelum memulai pekerjaan apa pun. Bekerja langsung pada disk dari RAID tanpa terlebih dahulu mendapatkan salinan gambar yang aman dari setiap gambar, dan membahayakan fakta keseluruhan jika ada kegagalan komponen atau pembuatan kembali, secara moral tidak dapat dipertahankan dan tidak kompeten secara komersial. Ada beberapa alat di luar sana untuk menyalin disk yang berfungsi.
Tentukan RAIDnya
Tidak ada organisasi RAID 5 konvensional. RAID 5 menjelaskan pendekatan striping data di sejumlah disk dengan pembuatan fakta paritas XOR yang didistribusikan ke seluruh disk.
Penghitungan data paritas untuk RAID 5 sudah jelas, namun urutan penggunaan disk, cara paritas didistribusikan ke seluruh disk, dan dimensi setiap blok data pada setiap disk tidak jelas. Di sinilah strategi UFS (dan EXT3 dan XFS) dalam membagi kuantitas menjadi tim alokasi merupakan keuntungan yang luar biasa. NTFS yang sebenarnya Anda dapatkan hanyalah awal dari MFT dan mirror MFT, dan mungkin ada banyak perusahaan RAID 5 yang pada akhirnya membuat mereka tetap berada di posisi yang tepat, jadi ada ketergantungan yang besar pada analisis proses file untuk meningkatkan prosedur investigasi. Dengan UFS terdapat duplikat dari superblock diikuti oleh tabel inode dan bitmap alokasi pada posisi dengan jarak yang sama di seluruh volume. Hal ini akan membuat penentuan konfigurasi RAID menjadi relatif mudah di sebagian besar kasus pemulihan fakta UNIX.
Evaluasi informasinya
Setelah bekerja di perusahaan RAID, tantangan selanjutnya adalah melacak data yang diminta. Ada banyak orang yang menyatakan bahwa pemulihan data file yang dihapus dari kuantitas UFS tidak dapat dilakukan, dan ada alasan bagus untuk pernyataan ini, namun tidak sepenuhnya benar.
Untuk memulainya, kita harus mempertimbangkan cara UFS mengelola alokasi fakta untuk dokumen. Hampir setiap file dijelaskan oleh inode, di sinilah informasi dan fakta mengenai tanggal dan waktu file data, ukuran dan alokasi disimpan. Alokasinya adalah berbagai tip terhadap blok-blok pengetahuan yang mengetik suatu file, serta beberapa ide blok miring. Ketika sebuah file dihapus, indode tidak dikenakan biaya untuk digunakan kembali dan fakta alokasi di dalamnya dihilangkan. Ini berarti bahwa tidak ada teknik memanfaatkan rencana untuk memindai inode untuk file data yang dihapus seperti yang dapat dilakukan dengan memindai entri MFT dari teknik file NTFS untuk membatalkan penghapusan file.
Yang penting adalah pengetahuan tentang file yang akan dipulihkan. Sebagian besar jenis dokumen memiliki informasi header yang dapat diidentifikasi, dan bagi yang lain mungkin ada versi sebelumnya yang dapat ditemukan di cadangan untuk perbandingan. Oleh karena itu diperlukan pemahaman tentang bagaimana informasi dialokasikan kurang dari UFS dan struktur tambahan apa yang digunakan. Berbekal pengetahuan ini sangat mungkin untuk memperbaiki berbagai macam dokumen meskipun informasi alokasi terpenting telah diambil.
Pemulihan pengetahuan UNIX
Strategi pemulihan data UNIX ini telah mencapai beberapa keberhasilan yang signifikan, namun tidak tepat untuk mengklaim bahwa pemulihan data selalu dapat dilakukan. Untuk file data fakta berukuran lebih besar, untuk database ilustrasi, tingkat hasilnya lebih tinggi. Untuk teknik file yang terdiri dari sejumlah besar dokumen yang lebih kecil dan di mana terdapat penghapusan file yang umum, tingkat hasil yang baik umumnya tidak sebaik, terutama tanpa inode untuk file apa pun, kecuali jika ada log jumlah inode, itu akan terjadi. sama sekali tidak mungkin untuk mengaitkan informasi apa pun yang dipulihkan dengan nama file dan direktori.
Jadi, daripada membuat klaim yang berlebihan bahwa dokumen biasanya dapat diperoleh kembali, lebih baik mengkondisikan bahwa dokumen umumnya dapat diperoleh dan bahwa mengambil keputusan bahwa sesuatu tidak mungkin tercapai sampai semua cara telah dieksplorasi adalah salah.