跳電後的VMDK與快照系統修復

很多人會說,資料救援報價到底是怎算的,這邊來要來討論資料救援成本與狀況 1.資料救援沒收費風險成本 客戶認為資料恢復的不完整,不是它們所需,因此不需要這個救援的資料,就這方面,我們實驗室是接受的。  2.研究深度技術攤提成本 很多深度的技術,一次案子是不可能攤提成本的,但如果案子都是接到後再去研究,時效性一定是不夠的。 3.設備、人力、受訓、成本 客戶的VM,在本機Datastore(VMFS), 因為一次跳電,所以資料損毀了,其實這況狀應該是inode未正確寫入完整 這邊先嘗試掛載 WIN2003 VM,flat映象檔  此為沒有附加快照的磁碟映象檔 導致VM在啟動時讓VMWare,Workstation當住 如果用更新版本VMWare,Workstation裏面直接升級虛擬機器,之後會有修復vmdk檔的功能,但是仍然還是修復失敗 (如果選擇不修復,則有以下畫面) 使用vmware-vdiskmanager-R,快照索引檔vmdk, 修復快照檔也無法成功。 需要將flat檔和delta檔結合並重新產生可開機的vmdk檔,由於flat檔也無法在新建的VM上面掛載,使得難度提高不少。 修復步驟: 1.將快照檔和flat檔結合再取出檔案,然後將flat檔單獨取出,作為損壞檔案補充檔 2.建立VHD檔,將結合檔案取出放到VHD檔裏面,並寫入開機程式Boot Code 3.建立新的VM機器,將VHD掛載成為實體硬碟,再另外設定VHD檔的開機屬性之後開機 4.在開機過程有損壞檔案,從flat檔取出的來補充 修補損壞開機系統 (1)掛載WIN7/WIN8的光碟ISO檔成為虛擬光碟,或者連接實體光碟 (2)到光碟機的BOOT目錄執行BOOT ...

跳電狀況下WD電路版與磁頭損壞資料救援

  這顆是是在跳電狀況下,燒毀的WD硬碟。 簡單說明一下,最基本的如何判定PCB,元件哪邊故障,先準備張正常工作的電路板,來做比較: 1.螺絲孔為GND,固定電表引腳其他就來測試 2.使用通檔,有導通接腳也為GND  3.通電後測量,相對應電壓,就可量出下面電壓,並且來思考硬碟所設計的電源保護電路 這邊要說到硬碟電路板最容易損壞的電源元件,TVS(Transient、Voltage、Suppression),diode 中文:TVS二極體,它做什麼? TVS(瞬態電壓抑制)二極體通過箝位電壓尖峰工作。它通過將有害的過電壓和尖峰偏離負載來保護敏感電路。如果過電壓的持續時間足夠短(<8usec),則二極管將恢復並繼續工作。然而,如果二極體受到持續的過電壓,則會因短路而犧牲自身。 TVS二極體根據其工作或待機電壓及其擊穿電壓進行額定。在正常工作電壓下,二極體基本上是一個開路(斷路),即「看不見」。 但在超過工作範圍電壓下,便會短路造成電流無法通過。 所以在電路板上,5V,跟12V, TVS二極體可是分開的, TVS二極體將直接連接在電源電路(+,5V或+,12V)上,有時連接串聯電感,保險絲,零歐姆電阻。 TVS二極體的陽極接地,而陰極(條紋端)連接到正電源軌。TVS二極體通常位於電源連接器附近。 由於HDD應用中的TVS二極體是表面貼裝器件,所以它們將被標識為縮寫標記代碼而不是全部器件號。 一些常見的12V二極體標記代碼是LE、LEM、LEK、BUX、KVP、13L。 一些常見的5V二極體標記代碼是HE、QE、QA、AE、5L。 零件號可反映二極體(如SMAJ12A)的工作電壓或其擊穿電壓(例如TPSMB13A)(超過13V,就bye,bye)。     不過此為硬碟Motor,晶片嚴重燒毀, 電路板跟IC都有燒穿,已經不適合修版狀況 可能是瞬間電壓過高,但時間很短,TVS,二極體無法發揮效用,電機晶片才會燒成這樣,連帶磁頭也有風險 準備下圖硬碟材料,更換電路板先 更換電路板上去後,發現這顆磁頭也因為突波電壓也燒掉了 只好再更換磁頭,順利將客戶資料導出100%救援成功 ...

NAS 資料救援流程

資料救援除了在硬底子技術在系統、流程、 服務也是非常重要。 OSSLab示範如何透過自行開發系統,進行資料救援服務流程與管理,進行業界最高技術與服務流程。 客戶為花旗銀行亞太區助理副總裁,在其出國期間:他的QNAP QNAP TS-831X出現RAID Group 1 is inactive,(四顆Raid 5 ) 在出國期間發生的,回國就已經有兩個HD找不到。 標準資料救援的流程如下 但是如何應用軟體整合流程?       客戶以現場收件進行資料救援,我們透過ipad輸入RMA系統記錄客戶資料及硬碟狀況。       2017 .7.3 收件後入檔後   ...

Wechat資料庫加密逆向工程分析

在 2012 OSSLab在台灣駭客年會分享過 數位鑑識與資料救援前瞻性研究 主題 那時候已有遇到各種IM加密狀況, 像Whatsapp是固定AES密鑰,但無法破解微信Sqlite資料庫加密. 就沒辦法分析提取對話資料.. 直到2015時候 網路上有人分享 其解密原理. Wechat 是用手機的IMEI值和微信UIN值的組合來對數據進行加密   MD5 左側加密(SIM值+uin值) 取前七位為 Sqlite decrypt key 其後我們在資料恢復應用跟分享給刑事單位這些技術與資訊.解決了很多問題  但是我們一直不理解其反組譯思路. 最近翻到這篇文章 才恍然大悟.. Android中靜態方式破解微信獲取聊天記錄和通訊錄信息   ...

WD My Book 改造外接硬碟盒讓他牌硬碟也能使用

目前PChome WD 8TB硬碟 有特價只要NT 7000 拆出後裡面為日立氦氣硬碟 5400RPM. WD My Book 外接硬碟盒因為有加密的功能,因此若使用非WD的硬碟的話,會因此無法使用,但是其實只要在轉接的電路板上動一下手腳,就能夠讓它牌硬碟也能使用這款外接盒了。當然這外接盒你要另外賣也是可以的.但要改過才可以賣... 對於原理可以參考下這篇 WD  USB加解密工作原理 接下來,我們就來改造吧。 外盒打開來之後拿出本體   取出電路板,之後會長這樣 這次要改造的晶片是紅框處的這顆 Winbond W25x20CLV 是16MB SPI Flash    ...

網站管理 Vesta: Hosting 網站管理介面安裝過程

  Vesta CP 控制面板,簡單、易用、效能高。 Vesta 是一套簡潔、執行效率高的控制面板,支援多種Linux OS(Red Hat/CentOS/Ubuntu/Debian),他還能用Nginx反向代理支援Apache/PHP 安裝完成之後就會如圖一樣,Vesta好處就是原生支援中文化,以OSSLab來說早期都是使用ISPconfig來進行管理頁面控制,但是因為有各種Bug加上ISPconfig效率差的問題造成各種拖速,OSSLab近期請了專業工程師來改進網頁伺服器的架構之外順便導入了這個控制面板,現在各位進行連接我們的官網的話就會發現網頁載入速度快了非常多。 安裝過程 # Download installation script curl -O http://vestacp.com/pub/vst-install.sh # Run itbash vst-install.sh --nginx yes --apache yes ...

從48小時搶救150億交易資料談LSI metadata分析

前言 : 這案例發生在 2008 左右 其架構應該為 IBM AIXserver再以FC連結DS4300.原文金額為RMB.標題直接換算成NT. 轉載文 以前總聽說老大們遇到DOWN機的事情怎樣怎樣,多麼急迫怎樣怎樣,但卻一直沒有感覺,總以為老大們言過其實。但是前不久一次真實的經歷,讓我終於對存儲工程師這一職業有了更深層的認識…… 起因 某月某日某時,我的一個哥們準備在新上的IBM DS4800盤陣上做RAID,剛剛做完時鐘同步,就看見客戶方所有的技術人員一陣風似的全部衝進了機房,帶頭的主管劈頭就是一句:你們幹什麼了?不待我們緩過神來,6、7個人就開始瘋狂的查找各自負責的部分。「趕快,趕快,查找原因!」 在過後的幾個小時情況調查的時候,我們終於知道,當時的盤陣上面存儲著該客戶35億的交易記錄和10條要人命的信息!然而,當我哥們完成時鐘同步的操作後,盤陣上的所有Volumn Group全部不見! 噩夢開始,35億交易記錄不翼而飛 只見客戶方6、7個人分別查找各自的原因,資料庫配置,光纖交換機,網絡,主機上的應用,甚至電源、機櫃都一一仔細檢查過,統統沒有問題。於是,所有人的目光都轉向了我們:你們到底做了什麼? 我們一下子也沒回過神:「只是,只是在還沒有使用的盤陣上做了時鐘同步,怎麼會和生產系統扯上關係?」 大家的目光隨即投向了連接KVM和盤陣的HUB。咦?上邊怎麼還有兩根線纜?那麼我們現在操作的這兩根線纜是?……生產系統盤陣上的!而且使用的是默認IP!!.....我的天!我們前面的操作是做在哪裡了啊?為什麼沒有出現IP衝突? 這時我們才意識到我們犯了什麼樣的錯誤:我們將KVM連在了生產系統的HUB上,對客戶新上的盤陣DS4800和原有生產系統上的盤陣DS4300同時做了一個DEMO,並進行了時鐘同步,於是,所有的Volumn Group掉下去了(掉線),生產停止了…… 四處支援,各路神仙愛莫能助 搞清楚狀況後,已經2個小時過去了。客戶方的人也不再理我們,所有的人開始打電話,尋求技術支持。在此後的4個小時中,分別有來自各方的支持陸續趕到,其中包括原設備維護廠商,新設備廠商、總代。以及陸續到來的7位IBM的工程師。我哥們至少20次的向各路神仙說明故障原因,客戶方也不停的展示目前盤陣的狀況,但事情仍然陷入僵局…… 在我們感嘆客戶方主管巨大能力的同時,也被打入冷宮了,被安排在一個辦公室裡不能出來,更別說進機房。還好客戶方還允許我們繼續找人支持和打800報修,所以我也有機會看了一眼客戶受重創後的盤陣,除了ROOTVG,其他的全都沒了,就好像連在一個完全空白的新盤陣一樣,我當時那個汗啊! 回到辦公室繼續打800報修,提示音之後是長時間的廢話,我一遍一遍的報上姓名地址,說明情況,無論你磨破嘴皮,只有一個結果:除了產品硬件故障不能派人解決。我狂暈! ...

ZFS筆記:ZFS 壓縮加速功能與PVE zsync 快照備份

 ZFS Compression 不知道大家有感覺到 OSSLab 網站速度是否有加快? 那是因為最近才開啟ZFS加速功能. ZFS 支援壓縮功能,支援lz4/zle等壓縮方式,利用少量cpu支援,能夠提供更快速的讀取與更多的空間可供使用(開啟壓縮功能之後所儲存的檔案大小比較小),建議x79/intel core i系列架構以上的CPU可以開啟使用,夠快夠快樂。 建立儲存池並開啟基礎壓縮: zfs create -o compression=on tank(儲存池名稱) 設定基礎壓縮在現有的儲存池 zfs set compression=on tank(儲存池名稱) 新建儲存池並開啟lz4 壓縮功能(建議使用) zfs create ...

iCade應用介紹

iCade應用介紹   早期的iPad不知援藍牙搖桿功能,因此廠商推出了模擬藍牙鍵盤的方式,其中最具代表性的就是iCade,但是歷經演化,蘋果針對遊戲也導入了藍牙搖桿的功能,因此iCade所推出的協定就漸漸沒落,但是現在的新遊戲大多也不支援搖桿而成了詭譎的情況。 但是後來的廠商並沒有製作像iCade這樣品質的搖桿,而且iCade相當耐用,因此很多人還是用著iCade甚至自己改造,不過我們今天要介紹的不是如何改造,而是如何使用iCade來玩更多的遊戲! 使用iCade只要透過藍牙將iCade與iPad配對,iPad架設在插槽上,就可以執行iCade支援的遊戲,成為搖桿和iPad結合的遊戲平台 1. ION原廠支援: (1) iCade支援的遊戲列表: http://www.ionaudio.com/products/icade-games http://bbs.xiaoji001.com/forum-156-1.html (2) 原廠使用手冊下載: https://www.ionaudio.com/downloads/iCade_Core_Quickstart_Guide_v1.0.pdf (3) 中文使用手冊下載: http://www.djmart.tw/images/201212345/icade.pdf 2. 網路價(PChome) NT$4980: http://24h.pchome.com.tw/prod/DEASCA-A9007OH3B 3. 連線設定(iPad/iPhone): (1) 藍芽設定:  ...