专栏首页CVM技术交流误删除 文件 磁盘 格式化 勒索 加密 数据 恢复 指南
原创

误删除 文件 磁盘 格式化 勒索 加密 数据 恢复 指南

R-Studio这个软件是Windows电脑和Windows服务器上都能运行的、可以恢复Windows文件系统和Linux文件系统的绝好软件,我试过了5种以上的恢复软件,就这个软件的效率和结果最好。我先普及一些背景再介绍R-Studio怎么用。文档比较长,但是你看完的话肯定不虚此行。怕你看不完,我把最重要的一句话先说下,一旦发生误操作,赶快停下、关机,不要破坏原现场、不要破坏原现场、不要破坏原现场,先冷静下来然后仔细看完这篇文档。(建议先收藏,文档用时方恨没收藏,我保证不删除)

我前些年花88元买过anedata.com 这家的数据恢复软件,那次我的移动硬盘掉地上了,硬件损伤,在磁盘管理器里只能看到有个盘,但是根本没法对其做任何操作,鼠标一点盘符,移动硬盘指示灯马上就灭了,然后在磁盘管理器里就看不到盘了,重新插拔后用DiskGenius倒是能识别到分区,但是恢复的时候老是卡死,最后我用这家的数据恢复软件搞定了。可是最近去看这个软件,四五年过去了没啥大变化,前些年GPT大盘还没普及,500G、1T的MBR移动硬盘用它还行,现在大于2T的GPT大盘用它的可靠性我不确定。云上的盘就方便多了,不论大盘、小盘,只要是云盘(非云上的本地盘),就可以打快照保留现场、用快照创建新盘复制一个现场出来。

前不久我把Linux数据盘格式化后想起来里面有我之前写的几个PHP文件,不是那么重要,重写的话又会浪费些时间,我评估了下时间,可以用数据恢复软件试试。Linux文件系统跟Windows的NTFS不一样,格式化后别抱太大希望,一般情况下不可能完整恢复,倒是能找到一些没有原始文件名和目录结构的元数据,但这些数据如果量很大且你不太熟悉自己文件情况的话,鉴别重用就太难了。

Windows格式化后不要做其他任何操作,用恢复软件完全恢复的可能性很大。

我用过很多款数据恢复软件,R-Studio的恢复效果最好(我在网上找的破解版)。我跟数据恢复公司的技术人员做过交流,云上误操作删数据或者格式化磁盘,一般情况下数据恢复公司也是用R-Studio这款软件找数据,幸亏我有较丰富的经验,既然他们也用这个软件,那我就省了找数据恢复公司的钱。但是我得郑重提醒下,如果你没有数据恢复经验,千万别乱搞,最怕的就是没搞好还破坏了现场。如果你是云盘、打快照备份了现场,那你用快照创建新盘去练手是没问题的,别删备份现场的那个快照就行,万一你练手失败了,再用快照创建一块新盘继续练,这就是运维行业常说的“回滚”机制。

数据恢复公司用的R-Studio是正版的还是破解版的我没好意思问这么尖锐的问题,反正我看网上破解版的挺多。

我还请教了对方“被加密勒索的文件找数据恢复公司有没有办法”,对方很明确地说要看加密的情况,因为加密原理是在文件头部加密或在整个文件里分段加密。头部加密的话,如果是小文件恢复的可能性不大,大文件的话,可以根据文件本身的特点去构造头部数据,能不能恢复、能恢复多少,要看运气和文件特点。他还提到如果是间断加密的,不论文件大小都没有办法,除非黑客本人,只有他知道加密算法,因此只有黑客本人能反解。

推荐2个网站,可以提交被加密的文件看看加密算法是什么,然后看有没有对应的解决方案,没有的话只能找数据恢复公司分析下文件结构看看有没有运气能恢复出来。

这个网站是让你上传小于1MB的被加密文件确认是如何被加密的,上传文件就知道能不能解密了https://www.nomoreransom.org/crypto-sheriff.php?lang=zh

类似的另一个网站 https://id-ransomware.malwarehunterteam.com/

建议还是平时就加强系统安全和业务安全,比如设置复杂密码、修改默认远程端口号、安全组只放行需要公网访问的业务端口、自建数据库业务如果仅仅是localhost调用完全不需要开放外网访问(自建的低版本redis、elasticsearch请做好鉴权,默认没鉴权会被入侵提权获取root权限;数据库比普通文件更重要,如果你是老板或技术主管,在招聘的时候擦亮眼睛,别把公司命脉交给只会用123456、! @#qwer的安全意识极差、风险意识极差、适合祭天的管理员)。

就服务器入侵来说,无非5个途径:

①操作系统密码弱:设置大写、小写、数字、特殊字符组成的没有明显规律或词法特点的16位复杂密码可以切断这一途径。

②操作系统有漏洞:2017年曝出的wanna cry让很多Windows管理员丢掉了工作,建议管理员禁用共享服务、禁用高危端口比如135-139和445等端口。平心而论,操作系统毕竟不是云服务商开发的,是微软、红帽等操作系统厂商出的系统,云服务商只是拿来用,一般情况下,如果曝出漏洞,操作系统厂商和云服务商都会积极出台补救措施的,普通用户注意查收短信、邮件、站内信、语音通知,及时打补丁就行,别心存侥幸不打补丁。

③业务系统密码弱:业务系统的密码复杂度要求跟操作系统的是一样的,不要出现123qwe、1qaz2wsx、admin、admin123、passw@rd、oracle、scott、system、root、mysql、ilove***、123456、123321、666666、88888888、12345677890等这样形同虚设的弱密码。

④业务系统有漏洞:关注业务软件官网动态、及时升级业务系统,服务器安全组或防火墙只放行业务端口,非业务端口一律禁止。

⑤上传或下载文件到服务器时引入了病毒木马导致被入侵:尽量先下载到本地电脑,对下载下来的文件扫描杀毒,没有发现异常再上传到服务器。

做到以上几点,基本可以告别被入侵的惨痛经历。

数据恢复公司的大哥特别跟我提到“中间商赚差价”的情况:某人跟加密勒索的黑客有交情,声称能通过技术手段恢复被加密的数据,被加密勒索的一方觉得直接给黑客交钱没有保障,万一石沉大海了多亏,于是找这个声称能恢复加密数据的人支付数据恢复费用,确实也拿回了数据,这样一传十、十传百,口碑就出去了,后面有加密勒索的都找这个人恢复,实际上他这个生财之道不是正道,是歪门邪道。他并不能恢复,他找黑客恢复的,他经常找黑客恢复,黑客给他有优惠,比如打5折,然后他给对方按黑客原价的8折恢复出来,赚差价。常在河边走哪能不湿鞋,最后被警方抓获,以诈骗罪判刑了。如此看,功夫需下在平时,一定要做好服务器的安全设置。其实云服务厂商提供的安全组如果用好了基本就用不上操作系统自带的防火墙了,弱密码被入侵的事情谁也别怪,完全是自作孽不可活。再者,自己使用习惯不好,买的电脑中了毒怪卖电脑的店家不合适。如果真要找数据恢复公司碰碰运气,一搜一大堆,但是有相关资质的国内只有一家机构,是国家事业单位,不是私企。

http://www.chinadrs.cn/index.html

接下来我们学习一些数据恢复注意事项再介绍R-Studio怎么用。

关于Windows分区的一些知识

http://www.anedata.com/resource_004.html

关于恢复成功率的一些知识

http://www.anedata.com/resource_003.html

平时正常使用时需要注意的问题

http://www.anedata.com/resource_002.html

数据恢复中需要注意的问题

http://www.anedata.com/resource.html

数据恢复过程中最怕被误操作而造成二次破坏

数据丢失后,要严禁往需要恢复的分区里面存新文件

在讲R-Studio怎么用之前,我先说说我用了很多年的DiskGenius吧,这款软件有很多功能都很棒,比如克隆硬盘(硬盘对拷)、克隆分区(磁盘分区对拷)、查找已丢失分区表等。说到对拷,我这里正好有份实践数据,我对250G本地盘对拷到250G高性能云盘,花了3小时02分钟,平均速度182/250=0.728分钟/GB,按[0.8-1]分钟/GB预估,对拷1000G需要[800-1000]分钟,如果是SSD云盘的话,应该会明显快一些。

细心的同学注意看我是从HD0克隆到HD2的,我是对一个本地盘类型的系统盘做的克隆,常规办法下是没法对系统盘做克隆的,我用了自己制作的WinPE(普通的PE是不行的,我用PE已经10多年时间了,自己之前也制作过PE,网上的PE都是电脑上用的,不兼容云服务器,我跟一家我比较认可的PE制作商--李培聪先生反馈过,关于他们,他们客服嘴上说我的建议很好,但是一直没兑现,于是我自己出了一个简易的WinPE,兼容云服务器和电脑),开机的时候从WinPE进去操作。

我制作的WinPE里集成了DiskGenius(也叫PartitionGuru),我的WinPE不止兼容云服务器和普通电脑,甚至很偏门的电脑也兼容,具体使用详见我另一个文档https://cloud.tencent.com/developer/article/1558241 ,顺便说明下,我的WinPE在1G内存的机器上跑不了,至少需要2G内存。我为什么痛恨1G内存的机器,因为1G内存的机器在我恢复数据的时候误过事,还因为1G内存机器安装个WPS经常内存爆满卡死,如何解决请参考我的另一篇文档https://cloud.tencent.com/developer/article/1559022

我没用过付费的DiskGenius专业版,都是网上找的破解版,客观讲,恢复效果没有R-Studio好,并且还发现DiskGenius4.9及其以后的版本有bug:在WebVNC里一运行就卡死,但远程的时候正常。

言归正传,说一下云盘和本地盘两种情况如何恢复数据。

一、云盘

出事后先关机做快照,快照是块设备级别的,相当于硬盘底层对拷,用做的快照创建的盘跟原盘的情况完全一样。

不要破坏原现场、不要破坏原现场、不要破坏原现场。

快照创建OK后,用快照创建一块新盘并保留快照不要删,然后再买一块同样大小的空盘,2块新盘挂到一个全新的Windows2008R2上,然后在2008R2里通过数据恢复软件扫描,扫出文件后先保存扫描结果/进度,以免中途崩溃又得从头来。(其实R-Studio有Windows、Linux、Mac三个平台的版本,由于公有云上不支持Mac且Linux Server默认没配置图形界面,因此我们选Windows系统)

快照的好处是你可以同时创建多个相同现场出来,挂载到多个全新的Windows机器上,用不同的数据恢复软件扫描,看谁扫得快,扫出来的结果也可以做比较以查漏补缺验证恢复的可靠性。

这里要特别说明下,扫描的快慢跟机器的CPU、内存以及磁盘介质、数据量多少都有很大关系,如果比较着急,建议用至少4核16G内存的机器进行扫描恢复,别用1核1G的低配机器误人误己,1G内存够干个屁。现在想买个1G内存手机都非常困难了,2G内存的也比较少见,以前给长辈买手机都是1G、2G内存的,现在“长辈机”基本都是3G内存起、4G内存是标配、6G内存是趋势了。华为、荣耀有好几款性价比不错的千元机6G内存,这里多费口舌并非广告,实属性情中人热心推荐,快过年了给长辈换一款他们想要的6GB内存不卡的手机吧,顺便讽刺下想拿服务器1GB内存跑出若干GB内存效果的贪心人士,云服务器1GB内存跟手机1GB内存是差不太多的,现在手机都多大内存了,还玩1GB内存服务器?

二、本地盘

由于本地盘不支持快照,唯一的办法是买一块相同地区、相同可用区的相同大小的云盘,请云服务商把你本地盘对拷到这块云盘,然后你对云盘做快照,然后其余的事情就跟上面说的一样了。但是对拷本地盘到云盘这种非标操作是不合规的,服务商一般会拒绝,既然是求人办事,就客气点,别老是花10块钱就想一直当上帝,把服务商的后顾之忧先给人家去除掉,即要保证合规操作,你得给人家一个保证书和授权,别有事没事碰瓷,这样谁还敢应承你。我以前在阿里云的时候经常怼工单客服,最后我发现我的工单经常超过3个小时左右甚至更长时间才回复,我猜测可能是被他们打上了“恶意”标签,后来我学乖了,不论遇到多么差的客服我都保持客客气气,并且发现了他们的问题后我都一一指正并给出优化建议来释放我的善意,再后来过了一段时间,我提交工单后平均40分钟左右就响应了,并且还会破天荒地给我打电话,我前些年在阿里云提了七八个工单他们都没主动电话过。如此看,与人为善、与己为善,求人办事得有求人办事的态度,不能光是撒泼打滚充上帝。

三、R-Studio使用过程

如果是Linux EXT3、EXT4的文件系统,可以在Windows服务器里安装个能识别EXT文件系统的软件ext2fsd

ext2fsd下载地址:https://nchc.dl.sourceforge.net/project/ext2fsd/Ext2fsd/0.69/Ext2Fsd-0.69.exe

下载地址是从ext2fsd官网一步步找过去的

官网链接:https://www.ext2fsd.com/?page_id=16

如果下载地址和官网链接变了,直接访问官网域名ext2fsd.com 去找新的下载地址

R-Studio的下载地址这里不提供,你自己去网上找一个吧。

不论是32位还是64位Windows,软件根目录里的RStudio.exe会自动匹配紧随其后的RStudio32.exe或RStudio64.exe,我们双击RStudio.exe就行

找到对的盘后点“扫描”,如何找到对的盘,注意看红框右边的标签,即diskid。

操作中各个环节的速度跟CPU和内存大小、磁盘介质、数据量多少等都有关系,扫描出来后点恢复就行。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 低配机器安装个WPS经常内存爆满卡死如何解决?

    背景:朋友1核1G机器空载情况下内存利用率已经50%左右再安装个WPS2019经常内存爆满卡死,不愿意花钱升级内存,让给他想个解决方案,解决方案office20...

    shawyang
  • 建议使用安全性更高的2016系统

    2008R2在高并发场景中的性能瓶颈在2012R2中并没有得到明显优化,最终在2016上落地了。

    shawyang
  • 云行业风生水起,如何入行?

    建议你投简历前先包装下行业经历,虽然你不曾在多家云计算公司工作过,但是你可以体验很多家云计算公司的产品,这个非常重要,可以让面试官看到你对这个行业的认同和激情

    shawyang
  • JSP中获得list的长度

    用户2657851
  • Web 开发中很有用的8款在线工具

    在工作中借助一些非常好用的工具可以让你专注于更重要的事情,进而提高工作效率。本文收集了一些在 Web 设计和开发中很有帮助的在线工具分享给大家,希望对你有帮助。

    用户4962466
  • ImageIO.read 读取图片时报错 Unsupported Image Type

    原因: ImageIO中读取文件的类为JPEGImageReader,这个类只能读取RGB color model,如果文件被PhotoShop或美图秀秀修改过...

    似水的流年
  • 微信能否改变传统管理软件市场?

    近来,有传言称腾讯将借助微信强势杀入企业软件领域,如果传言属实,对于一些细分领域的软件企业来说,这绝对是一个坏消息。微信的威力无边即便是强大如阿里巴巴、新浪微博...

    人称T客
  • Centos7 安装pyenv 原

    有时多个python版本还是希望用pyenv隔离下,避免不同版本库间的影响干扰。有时为了避免固有bug的影响,希望从零开始安装一个纯净的环境,pyenv就可以发...

    拓荒者
  • 【程序源代码】python Activiti 工作流作图工具

    程序源代码
  • 【微服务】151:商品的分页查询

    这个和第146天实现的品牌查询是一样的,也是分页查询,当初我们是从前端页面到后台代码完整地写了一遍。

    刘小爱

扫码关注云+社区

领取腾讯云代金券