Pemulihan data menjadi yang paling menarik ketika ada banyak masalah yang harus dihadapi, jadi menggabungkan kegagalan RAID dengan penghapusan file dari sistem file UNIX UFS akan menghasilkan pemulihan data yang sangat menantang.
Amankan datanya
Aspek pertama dari pekerjaan ini adalah pengamanan data. Perusahaan pemulihan data mana pun yang bereputasi baik, dan masih banyak lagi, akan mengamankan semua data yang tersedia sebelum memulai pekerjaan apa pun. Bekerja langsung pada disk dari RAID tanpa terlebih dahulu mengamankan salinan gambar masing-masing disk, dan berisiko kehilangan data total jika terjadi kegagalan perangkat keras atau penulisan balik, adalah tindakan yang tidak dapat dipertahankan secara moral dan tidak kompeten secara komersial. Ada banyak alat yang tersedia untuk menyalin gambar disk yang berfungsi.
Tentukan RAIDnya
Tidak ada organisasi RAID 5 standar. RAID 5 menjelaskan metode striping data di sejumlah disk dengan pembuatan data XOR paritas yang didistribusikan ke seluruh disk.
Penghitungan data paritas untuk RAID 5 sangatlah mudah, namun urutan penggunaan disk, urutan distribusi paritas ke seluruh disk, dan ukuran setiap blok data pada setiap disk tidaklah sulit. Di sinilah metode UFS (dan EXT3 dan XFS) dalam membagi volume ke dalam kelompok alokasi memberikan manfaat yang besar. NTFS yang sebenarnya Anda dapatkan hanyalah awal dari MFT dan mirror MFT, dan mungkin ada beberapa organisasi RAID 5 yang menghasilkan posisi ini dengan benar, jadi ada ketergantungan yang besar pada analisis sistem file untuk meningkatkan proses analisis. Dengan UFS terdapat salinan superblock diikuti dengan tabel inode dan bitmap alokasi pada posisi dengan jarak yang sama di seluruh volume. Hal ini membuat penentuan konfigurasi RAID relatif mudah di sebagian besar kasus pemulihan data UNIX.
Analisis datanya
Setelah menyusun organisasi RAID, tantangan berikutnya adalah melacak data yang diperlukan. Ada banyak orang yang mengklaim bahwa pemulihan data file yang dihapus dari volume UFS tidak mungkin dilakukan, dan ada alasan kuat untuk klaim ini, namun klaim tersebut tidak sepenuhnya akurat.
Untuk memulainya kita harus mempertimbangkan cara UFS mengelola alokasi data untuk file. Setiap file dijelaskan oleh sebuah inode, di sinilah informasi mengenai tanggal dan waktu file, ukuran dan alokasi disimpan. Alokasinya adalah sejumlah pointer ke blok data yang membentuk sebuah file, ditambah beberapa pointer blok tidak langsung. Ketika sebuah file dihapus, indode bebas untuk digunakan kembali dan informasi alokasi di dalamnya dihapus. Ini berarti bahwa tidak ada metode penggunaan program untuk memindai inode untuk file yang terhapus seperti yang dapat dilakukan dengan memindai entri MFT dari sistem file NTFS untuk membatalkan penghapusan file.
Yang diperlukan adalah pengetahuan tentang file yang akan dipulihkan. Sebagian besar jenis file memiliki informasi header yang dapat diidentifikasi, dan untuk jenis file lainnya mungkin ada versi sebelumnya yang dapat ditemukan di cadangan sebagai perbandingan. Setelah itu diperlukan pemahaman tentang bagaimana file dialokasikan di bawah UFS dan struktur tambahan apa yang digunakan. Berbekal pengetahuan ini, sangat mungkin untuk memulihkan sejumlah file meskipun informasi alokasi utama telah dihapus.
Pemulihan data UNIX
Pendekatan pemulihan data UNIX ini telah mencapai beberapa keberhasilan yang patut dicatat, namun salah jika mengklaim bahwa pemulihan data selalu dapat dilakukan. Untuk file data yang lebih besar, misalnya database, tingkat keberhasilannya tinggi. Untuk sistem file yang berisi sejumlah besar file kecil dan di mana terdapat penghapusan file secara luas, tingkat keberhasilannya biasanya tidak terlalu tinggi, terutama tanpa inode untuk file apa pun, kecuali ada log nomor inode, hal tersebut tidak akan pernah terjadi. praktis untuk mengaitkan file apa pun yang dipulihkan dengan nama file dan direktori.
Jadi, daripada membuat klaim yang keterlaluan bahwa file selalu dapat dipulihkan, lebih baik menyatakan bahwa file sering kali dapat dipulihkan dan bahwa salah jika memutuskan bahwa sesuatu tidak mungkin sampai semua cara telah dieksplorasi.