Windows默认启用的系统恢复机制会定期创建卷影副本,创建的时机通常为安装或卸载软件以及系统更新。卷影副本 (Volume Shadow) 实际上就是我们在 Linux 上经常提到的 “快照(Snapshot)”,它利用写时复制 (CoW) 机制为我们提供了文件系统在某个时间点的一个状态的视图。通过利用这个视图,我们可以找回近期不慎删除或被覆盖的数据,也可以用于某些电子取证场景。实际上,系统恢复就是利用快照机制还原文件到先前某个状态实现的。
注意: 由于卷影副本存在一个严重的bug, 该方法并不可靠!找回的文件数据可能不完整,或需要手动拼接。该方法仅供紧急情况或取证场景使用,切勿以此代替备份软件。
前提条件: 系统恢复未被禁用、文件系统为NTFS、存在可用的系统恢复还原点
利用软链接将卷影副本链接到常规磁盘分区下面,就可以访问这些过去时间点的文件系统视图了。
意外断电重启后,发现群晖提示硬盘损毁了,但是实际上硬盘还是正常的,S.M.A.R.T. 状态也良好,但是无法写入数据,系统状态报告为“严重”,群晖的程序也拒绝工作。
我们来先治标再治本。
通过 SSH 直接登录 root 账号。如果不方便直接登录 root,则执行:
cd /
sudo -i
对于虚拟机黑群晖如果SSH挂了也没事,开个管道模式的串口连接(例如 \\.\pipe\dsm),然后用Putty或者Xshell 以管理员身份运行 连上管道即可。
检查有问题的存储池,此时可以看到 sdc3 后面的 [E] 表示他现在是错误状态:
cat /proc/mdstat
Ubuntu 自带网络分享功能,但该功能很不稳定,往往断开连接后再连就无法使用了。
现在我们使用 DNSMASQ+IPTables 手动配置NAT.
Ubuntu 提供的 systemd-resolved 抢占53端口,首先禁用它。
systemctl stop systemd-resolved
systemctl disable systemd-resolved
如果你之前配置过网络分享或已经用有线连接过电脑了,则需要这一步
运行 nm-connection-editor
删除所有有关你要分享的网卡的设置
安装
apt install dnsmasq
service dnsmasq stop
nano /etc/dnsmasq.conf
编辑 /etc/dnsmasq.conf,加入下列内容:
dns-forward-max=15000
#eno1为你的要分享的网卡名
interface=eno1
dhcp-range=192.168.33.2,192.168.33.150,255.255.255.0,12h
nano /etc/resolv.conf
填写你的DNS服务器,例如:
nameserver 223.5.5.5
nameserver 223.6.6.6
nameserver 114.114.114.114
/etc/sysctl.conf
加入:
net.ipv4.ip_forward=1
运行:
sysctl -p
eno1为你的要分享的网卡名
enp2s0为有网的(被分享的)网卡名
ifconfig eno1 192.168.33.2
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE
iptables -A FORWARD -i eno1 -o enp2s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
上述内容重启后无效,可加入 /etc/rc.local 以开机自动应用。
systemctl enable dnsmasq
systemctl start dnsmasq
systemctl status dnsmasq
完事!