Switch to full style
Todo sobre análisis forense de sistemas. Herramientas, tutoriales, etc.
Publicar una respuesta

Recuperacion archivos VMWare ext3

Jue May 14, 2009 12:48 pm

Hola,

Accidentalmente, no se bien por que, despues de un apagon he perdido varios archivos de una maquina host VMWare.

Con debugfs veo los archivos borrados, pero no se me ocurre como decirle a foremost el tipo de archivos por ejemplo para un .vmdk

¿Alguien con mas experiencia que yo recuperando archivos vmware?

Gracias y un saludo,

Jue May 14, 2009 1:53 pm

Hola

¿Que hypervisor estabas utilizando para ejecutar la maquina virtual, un servidor esx/esxi o un vmware server corriendo sobre linux?

No se si algo de esto pueda servirte:

VMDK Recovery Tool (ESX 3.5 Update 3)
recover vmdk file with foremost/scalpel help needed

Saludos y mucha suerte

Jue May 14, 2009 2:56 pm

Un VMWare Server corriendo sobre linux...

Seguire investigando.

Gracias,

Lun May 18, 2009 6:14 am

Resulta que pasó demasiado tiempo como para poder recuperar algo. El tiempo es el enemigo de los forenses... aps

Quizás con ext3grep podría haber conseguido algo si no hubiera pasado tanto tiempo... Sé de gente que ha recuperado imágenes de disco VMDK de 40GB o asi...

Ah, y gracias neofito por la info.

Saludos,

<EDIT>Me hice un script en bash para disaster recovery. Para las VMs ordenadamente, y si hay al menos un 80% de espacio libre en la maquina fisica destino, comprime a tar.gz por un lado del tunel ssh y por el otro lo va descomprimiendo "on-the-fly". No escribo a disco porque las operaciones de acceso a disco son lo mas lento en VMWare. Ah, y scp es lentisimo; mas lento aun.

Por si le sirve a alguien, ahi va:

Código:
#!/bin/bash
#
#Copia VMs de FISICA1 a FISICA2 para Disaster Recovery
#
#vlan7 / 13-5-09
#

ALERTA=80 #20% espacio libre
ssh fisica2 df -HP |grep mapper | awk '{ print $5 " " $1 }' |awk '{ print $1}' | cut -d'%' -f1 >/tmp/output
uso=$(cat /tmp/output)

if [ $uso -g $ALERTA ]; then
  echo "$uso % de espacio utilizado a fisica2, abortando copia" >>/var/log/copiaVMsVMWare.log
fi

if [ $uso -le $ALERTA ]; then
  #host1
  echo "Apagando la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
  vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd stop "[standard] host1/host1.vmx" soft
  echo "Apagada la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
  tar czvf - /var/lib/vmware/Virtual\ Machines/host1/ |ssh fisica2 "cd / ; tar xzvf -"
  echo "Encendiendo la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
  vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd start "[standard] host1/host1.vmx"
  echo "Encendida la VM host1 - $(date)" >>/var/log/copiaVMsVMWare.log
 
  #list all available VMs to log
  vmrun -T server -h https://fisica1:8333/sdk -u user -p passwd list >>/var/log/copiaVMsVMWare.log
fi

#enviando correo
tail -100 /var/log/copiaVMsVMWare.log | mail -s "[script] copiaVMsVMWare.sh" user@host.com

</EDIT>

Sab Nov 21, 2009 10:39 am

Buenas,

Siento revivir el hilo, pero despues nos dimos cuenta de que teniamos por ahi, apagado en el CPD, un "clon" en una maquina fisica con los datos que perdi.

La alegria fue grande, pues era un FreeBSD que monitorizaba los demas sistemas mediante cacti, y tenia gran cantidad de info almacenada a lo largo del tiempo.

Solo queria decir que la historia tuvo un buen final ;)

Suerte,

Dom Nov 22, 2009 3:26 pm

Una alegría que tuviese final feliz...Yo por mi parte ahora ando peleado con mi vmware en linux. Resulta que al arrancar la máquina virtual me dice que no encuentra un vmdk...

Le doy a examinar y le digo explícitamente dónde está el vmdk y me sigue dando el mismo error...

Seguiré investigando a ver si lo consigo solucionar.

¡Saludos!

Dom Nov 22, 2009 5:48 pm

Hola Juanjo

¿has comprobado si la configuracion contenida en el fichero .vmdk es correcta?

Saludos

Lun Nov 23, 2009 7:43 am

No neo, no lo he comprobado. Voy a mirarlo ahora mismo.

¡Saludos!

Mié Nov 25, 2009 8:15 pm

Sorry, no pude responder antes.

Imagino que neo se refiere al archivo de configuracion .vmx ,pues los .vmdk son binarios, cuidado Popolous.

Tammbien decir que a mi varias veces me ha pasado, y lo resolvi eliminando los .LCK para deshacer el bloqueo.

Suertr,

Mié Nov 25, 2009 8:48 pm

vlan7 escribió:Imagino que neo se refiere al archivo de configuracion .vmx ,pues los .vmdk son binarios, cuidado Popolous.


Cierto, se me fueron los dedos con la extension :oops:

Saludos

Re: Recuperacion archivos VMWare ext3

Mar May 17, 2011 2:08 pm

Hola:

Googleando me encontre con este documento , que seguro que a mas de uno le vendra bien :)

http://sanbarrow.com/vmdk-howtos.html#flattovmfs

Salu2
Publicar una respuesta