資料庫救援案例(一)加密病毒感染

Posted on Leave a commentPosted in 企業級儲存

這是OSSLab最近收到的案例
客戶的DB被勒索病毒加密.

 


看起來好像DB (MDF檔案)數據 沒有加密.

那該怎下手?先瞭解一下 SQL 資料庫結構 , MS 有專文介紹  MDF 基本單位為Page .
Page 大小固定4KB.  Header 96 bytes  
網站寫的有點含糊
Page 包含 : Data ,Text/Image,Global Allocation Map, Shared Global Allocation Map,Page Free Space,Index Allocation Map
Bulk Changed Map,Differential Changed Map

這案例慶幸的是看起來 DATA 沒有加密.但是Header等 都被加密了.
還有資料嗎? 去Github上亂翻 Opensources.  找到這個專案 OracMDf  
程式碼內有 MDF  Pages結構  下圖僅為MDF  Header. 
 

最重要的為  16-21 NextPage ID   跟32-35 PageID

再利用了 SQL Trace Flag指令:dbcc 

dbcc traceon(3604)
go
dbcc page(dbid,fileid,pagepid,3)

順序正確.Page Header參數正常
驗證MDF Page Header解密應該無誤

使用自行編寫的Script 來重組MDF  Page Header. 

成功恢復 客戶資料庫資料 

 

 

看起來是有些勒索病毒的 decrypt 算法為了求效率
對於大型檔案 像SQL 的mdf 他是對mdf page結構 header 加密 ,文本沒加密 .
不過Wannacry 對DB Data是會全加密的.

當遇到了 駭客攻擊,硬體意外,加密病毒. 損壞或被加密SQL . 又沒有Cluster Storage或備份狀況下怎辦?
下面有些原則非常重要. 
1.遇到加密病毒最好方法是休眠.因為保持記憶體狀況 還有機會取出裡面RSA 密鑰質數.
2.遇到駭客攻擊也請休眠.這是最好保存證物的方法. 
3.如果是硬體上的損壞.請立刻關閉損壞硬體.特別是高轉速硬碟. 非常容易刮傷硬碟盤片.
4.Storage Rebuild 跟檔案層的FSCK都不要做. 容易破壞掉資料
5.資料如果要請MIS或DBA 或外包SI 請先跟OSSLab聯絡.我們會給你意見降低資料庫再破破壞可能性.
6.若真的不幸要到資料恢復請選擇具有底層恢復技術的公司.而不是Program  kiddie  資料救援公司.

分析Synology FS3017 企業級儲存降損Flash損耗分析理與淺談未來Flash檔案系統

Posted on Leave a commentPosted in 企業級儲存


Synology FlashStation FS3017  全SSD 企業級儲存設備有提到 他們有一個Raid F1 算法.
可將工作量以非平均的方式分配至各硬碟,藉此改善硬碟壽命同時耗盡的問題,進而提升儲存集區的使用彈性,並確保您的資料安全無虞

這邊群暉有白皮書講解Raid F1 工作原理

image

推測發現

1.這還是Raid 5 架構
2.原理是這樣
當資料寫入時候 ,除了寫入Sector  所在Stripe 塊有所變化.  同行的奇偶校驗XOR 塊(P)也一定會變化。
所以當對固定某顆SSD XOR Stripe 比較多時候,  最後Flash 寫入磨損一定比較大.

這樣 奇偶校驗塊P 比較多的 SSD比其他SSD更早地達到其壽命 再去替換它
因為在儲存設備 盡量不要同時造成 SSD SMART E9磨損指數 同時間一樣 ,會造成數據資料危險與更換不方便

另外要設定 Stripe size 不能太小  才會比較有奇偶校驗塊 最先被磨損….要不然太小 所有SSD還是會平均磨損

 

如果當 A 號SSD  (寫入量最高的SSD) 做更換的話, 在Rebuild時候 .B號SSD 替代原有A號 SSD  ,XOR 塊為二倍.

那有更先進SSD的文件系統嗎?

其實文件系統在電腦中要做空間分配、維護、釋放、清理、垃圾回收等等. 在SSD embedded syetem還要做一次.
但一般SSD 都是模擬成硬碟LBA工作.

 

這會在將來的 CFM,Coorperative Flash Management 協同式閃存管理.
會有一種專門的 Conventional ssd or Stotage就可直接與Host溝通搭配文件系統運作.
不過這技術尚早.

另外一個先進文件系統就是Raid 2.0 這值得很大篇幅來說明. 下回分曉