虛擬機數(shù)據(jù)恢復(fù)—EXT4文件系統(tǒng)下KVM虛擬機數(shù)據(jù)恢復(fù)案例

虛擬化數(shù)據(jù)恢復(fù)環(huán)境&故障：
KVM是Kernel-based Virtual Machine的簡稱，是一個開源的系統(tǒng)虛擬化模塊，自Linux2.6.20版本之后集成在Linux的各個主要發(fā)行版本中。KVM使用Linux自身的調(diào)度器進行管理。
本案例中的服務(wù)器操作系統(tǒng)為Linux，文件系統(tǒng)為EXT4。操作系統(tǒng)上的部署的幾臺KVM虛擬機被刪除，每臺KVM虛擬機包含一個qcow2格式的磁盤文件和一個raw格式的磁盤文件，用戶需要恢復(fù)的數(shù)據(jù)是raw格式的磁盤文件。這幾臺被誤刪除的虛擬機存放的是數(shù)據(jù)庫，程序代碼等數(shù)據(jù)。

虛擬化數(shù)據(jù)恢復(fù)過程：
1、將故障服務(wù)器上所有磁盤以只讀方式進行扇區(qū)級全盤鏡像，鏡像完成后將所有磁盤按原樣還原到故障服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析EXT4文件系統(tǒng)，定位被刪除虛擬機磁盤文件的節(jié)點位置。
3、獲取磁盤文件殘留的索引信息，校驗殘留索引信息的正確性，北亞企安數(shù)據(jù)恢復(fù)工程師對破壞不嚴重的索引進行修復(fù)。
獲取的索引信息：

北亞企安數(shù)據(jù)恢復(fù)——KVM虛擬機數(shù)據(jù)恢復(fù)

4、索引修復(fù)完成后，解析殘留的各級索引，從虛擬機所在的卷中提取虛擬磁盤文件。提取完成后對磁盤文件的正確性與完整性進行校驗。
5、根據(jù)虛擬磁盤文件的提取情況，提取卷中未被索引到的自由空間。
6、從自由空間中獲取有效信息，北亞企安數(shù)據(jù)恢復(fù)工程師嘗試修補虛擬磁盤文件（如節(jié)點，目錄項，數(shù)據(jù)庫頁等信息）。
提取出的自由空間：

北亞企安數(shù)據(jù)恢復(fù)——KVM虛擬機數(shù)據(jù)恢復(fù)

虛擬化數(shù)據(jù)恢復(fù)結(jié)果：
由于索引丟失，提取出的虛擬磁盤文件并不完整。
針對存放數(shù)據(jù)庫的虛擬機中數(shù)據(jù)庫文件丟失的情況，可以從自由空間中獲取數(shù)據(jù)庫頁去修補數(shù)據(jù)庫文件，但由于部分頁所在區(qū)域被覆蓋，只能盡量多的去補頁。
針對存放程序代碼的虛擬機中節(jié)點和目錄項丟失的情況，若節(jié)點或目錄項有殘留，可以嘗試去補齊節(jié)點和目錄項。部分文件的節(jié)點和目錄項同時丟失，根據(jù)節(jié)點和目錄項之間相關(guān)聯(lián)的特性，這種情況下無法補齊節(jié)點和目錄項。由于程序代碼文件不具備一定的規(guī)律性，若其數(shù)據(jù)區(qū)丟失，則無法補齊。
部分目錄結(jié)構(gòu)：

北亞企安數(shù)據(jù)恢復(fù)——KVM虛擬機數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)——KVM虛擬機數(shù)據(jù)恢復(fù)

數(shù)據(jù)驗證：
在盡最大努力對虛擬磁盤文件及其中的數(shù)據(jù)庫文件進行修補后，由用戶方對數(shù)據(jù)進行驗證。經(jīng)過用戶方仔細驗證，發(fā)現(xiàn)有小部分數(shù)據(jù)丟失，重要數(shù)據(jù)都在，認可數(shù)據(jù)恢復(fù)結(jié)果。本次數(shù)據(jù)恢復(fù)工作完成。

審核編輯 黃宇