服務(wù)器數(shù)據(jù)恢復(fù)-虛擬機(jī)的文件丟失導(dǎo)致Hyper-V服務(wù)癱瘓的數(shù)據(jù)恢復(fù)案例

服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
一臺(tái)Windows Server服務(wù)器，部署Hyper-V虛擬化環(huán)境，虛擬機(jī)的硬盤文件和配置文件存放在一臺(tái)DELL存儲(chǔ)中。該存儲(chǔ)中有一組由4塊硬盤組建的RAID5陣列，用來存放虛擬機(jī)的數(shù)據(jù)文件，另外還有一塊大容量硬盤用來存放虛擬機(jī)數(shù)據(jù)文件的備份。

服務(wù)器故障&檢測分析：
存儲(chǔ)中虛擬機(jī)的數(shù)據(jù)文件丟失，Hyper-V服務(wù)癱瘓，虛擬機(jī)無法使用。
1、對(duì)存儲(chǔ)進(jìn)行物理故障檢測，未發(fā)現(xiàn)存儲(chǔ)存在物理故障，存儲(chǔ)中所有硬盤均可以正常識(shí)別。
2、服務(wù)器操作系統(tǒng)工作正常，未發(fā)現(xiàn)有出錯(cuò)進(jìn)程。
3、丟失數(shù)據(jù)硬盤的文件系統(tǒng)打開正常，殺毒軟件檢測無病毒。經(jīng)過分析發(fā)現(xiàn)丟失數(shù)據(jù)硬盤的文件系統(tǒng)元文件創(chuàng)建時(shí)間與數(shù)據(jù)丟失的時(shí)間吻合，這種情況表明文件系統(tǒng)被人為重寫了，即分區(qū)被格式化了。
4、檢查系統(tǒng)日志發(fā)現(xiàn)數(shù)據(jù)丟失之前和數(shù)據(jù)丟失當(dāng)天的系統(tǒng)日志被清空，審核日志和服務(wù)日志卻還在。此操作一般是人為的。因?yàn)楦袷交謪^(qū)操作只記錄在系統(tǒng)日志中，這與人為破壞的特征相符。
5、仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復(fù)。
6、分析操作系統(tǒng)中的所有分區(qū)，發(fā)現(xiàn)只有存儲(chǔ)中的兩個(gè)分區(qū)被重新寫入文件系統(tǒng)。因?yàn)楦袷交瘍蓚€(gè)分區(qū)需要兩個(gè)獨(dú)立的過程，進(jìn)一步表明數(shù)據(jù)丟失是人為造成的。

服務(wù)器數(shù)據(jù)恢復(fù)方案：
根據(jù)前面的的故障分析結(jié)果，北亞企安數(shù)據(jù)恢復(fù)工程師敲定了數(shù)據(jù)恢復(fù)方案：
備份用戶數(shù)據(jù)→重組RAID5陣列→查找原文件索引項(xiàng)及對(duì)應(yīng)的數(shù)據(jù)區(qū)→將掃描到的文件索引項(xiàng)碎片拼接成完整的目錄結(jié)構(gòu)→根據(jù)拼接好的目錄項(xiàng)去底層恢復(fù)對(duì)應(yīng)的數(shù)據(jù)→核對(duì)數(shù)據(jù)沒問題后恢復(fù)所有數(shù)據(jù)。

服務(wù)器數(shù)據(jù)恢復(fù)過程：
1、將故障存儲(chǔ)中所有的硬盤編號(hào)取出后檢測物理故障。經(jīng)過檢測沒有發(fā)現(xiàn)有物理硬盤存在硬件故障。將每塊硬盤以只讀方式做全盤鏡像備份，備份完成后將磁盤按照編號(hào)還原到原存儲(chǔ)中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)都基于鏡像文件進(jìn)行，避免對(duì)原始磁盤數(shù)據(jù)造成二次破壞。
備份所有硬盤數(shù)據(jù)：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

2、基于鏡像文件分析條帶大小、條帶走向等RAID相關(guān)信息。根據(jù)這些RAID相關(guān)信息重組RAID5陣列。
重組RAID：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

硬盤陣列：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

3、基于鏡像文件分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)了許多原文件系統(tǒng)的目錄項(xiàng)及文件索引殘留。經(jīng)過核對(duì)發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。北亞企安數(shù)據(jù)恢復(fù)工程師編寫提取文件索引項(xiàng)的小程序掃描查找所有存在的文件索引項(xiàng)，提取所有找到的文件索引項(xiàng)。
4、分析掃描到的所有文件索引項(xiàng)，發(fā)現(xiàn)索引項(xiàng)都是不連續(xù)的，大多是以16K或8K對(duì)齊的。正常情況下，文件索引項(xiàng)是連續(xù)的且大小為固定的1K，每個(gè)文件索引項(xiàng)對(duì)應(yīng)一個(gè)文件或目錄。而掃描出來的這些不連續(xù)且不完整的文件索引項(xiàng)是無法正常索引到文件的內(nèi)容。經(jīng)過北亞企安數(shù)據(jù)恢復(fù)工程師的處理后已經(jīng)能查到大多數(shù)的文件索引項(xiàng)片段。缺失的文件索引項(xiàng)片段可能被破壞，可以從數(shù)據(jù)備份盤中查找缺失的文件索引項(xiàng)片段。
文件索引項(xiàng)截圖：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

5、根據(jù)文件索引項(xiàng)的編號(hào)將找到的所有的文件索引項(xiàng)拼接成一個(gè)完整的目錄項(xiàng)結(jié)構(gòu)。
掃描到的文件索引項(xiàng)碎片:

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

6、將拼接好的目錄結(jié)構(gòu)替換現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)并修改部分校驗(yàn)值，解釋這個(gè)目錄結(jié)構(gòu)后就可以看到丟失的數(shù)據(jù)。
解釋出來的目錄結(jié)構(gòu)：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

7、為了驗(yàn)證數(shù)據(jù)是否正確，將其中一個(gè)較新的VHD文件恢復(fù)出來，將其拷貝到一臺(tái)支持附加VHD的服務(wù)器上，嘗試附加此VHD，結(jié)果附加成功。經(jīng)過檢查確認(rèn)該VHD數(shù)據(jù)完整，然后將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。
恢復(fù)出來的所有虛擬機(jī)數(shù)據(jù)文件：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

8、在一臺(tái)測試服務(wù)器上搭建Hyper-V的環(huán)境。通過導(dǎo)入虛擬機(jī)的方式將恢復(fù)的數(shù)據(jù)遷移到Hyper-V環(huán)境。然后交由用戶驗(yàn)證所有虛擬機(jī)是否完整。
導(dǎo)入虛擬機(jī)：

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

9、用戶驗(yàn)證完所有虛擬機(jī)沒有發(fā)現(xiàn)問題。將所有數(shù)據(jù)拷貝至用戶準(zhǔn)備好的服務(wù)器中，將虛擬機(jī)導(dǎo)入到用戶準(zhǔn)備好的Hyper-V環(huán)境中，導(dǎo)入后無報(bào)錯(cuò)。嘗試啟動(dòng)所有虛擬機(jī)都沒有問題。

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)——Hyper-V數(shù)據(jù)恢復(fù)

審核編輯 黃宇