共计 1829 个字符,预计需要花费 5 分钟才能阅读完成。
服务器数据恢复环境 & 故障:
北京某公司一台配有 72 块 SAS 硬盘的服务器,管理员误操作删除了该服务器中的 12 个 lun,这 12 个 lun 中蕴含了该公司的客户信息以及其余重要数据,急需复原服务器数据。
服务器数据恢复过程:
1、将故障服务器所有硬盘以只读形式做扇区级别的镜像备份。后续的数据分析和数据恢复操作都基于镜像文件进行,防止对原始数据造成二次毁坏。
2、北亚企安数据恢复工程师基于镜像文件剖析服务器底层数据,找到盘头地位的超级块,通过剖析超级块信息获取到磁盘组的起始块信息、磁盘组名称、逻辑组起始块号、raid 编号等根本信息。
剖析超级块:
3、通过剖析得悉每个数据块占 8 个扇区,数据块后附加 64 字节数据块形容信息,依据这些信息判断出作为校验盘的磁盘并在数据恢复过程中将这些磁盘剔除。
0x10:6 字节为 aggr_data 块号
如果 0x10 处为 FFFF 示意校验块
校验块形容信息样例:
4、在进行盘序剖析时能够依据每块磁盘 8 号扇区的磁盘信息和磁盘开端的 RAID 盘序表来确定盘序。
a、确定各个磁盘所属 aggr 组。
b、判断组内盘序。数据指针跳转时不思考校验盘,只须要获得数据盘的盘序即可。
aggr_raid(磁盘凑近尾部) 依据 10H 处的 VCN 块号判断磁盘组内各盘的程序
剖析盘序表:
小贴士:Netapp 的节点散布在数量泛滥的数据块内,在数据块内又被对立组织为节点组。每个节点组的前 64 字节记录零碎数据,而后以 192 字节为一项来记录各个文件节点。文件节点依据用户级别分为两类:“MBFP”系统文件节点和“MBFI”用户文件节点,数据恢复个别只须要 MBFI 节点组。
服务器节点样例图:
阐明:
头部信息 64 字节(此头部为数据文件的节点文件块头部,大小为 64 字节)
标记,常量(“MBFP”为元文件的节点标记,“MBFI”为用户文件的节点标记)
5、依据更新序列值获取到最新节点。解析节点中节点类型、逻辑块号、文件数量、文件大小、所占块数量及数据指针,获取节点在节点文件中的逻辑块号,从 0 开始计数。
6、获取目录项,并依据其节点编号,找到对应节点。
获取服务器内对应节点截图:
7、提取服务器数据。
a、扫描节点信息。
扫描服务器节点信息:
节点扫描类:
节点扫描程序残缺流程:
在循环扫描结束之后会将所有扫描到的 MBFP、MBFI 和 DOC 数据块别离写入到三个文件内,用于后续解决。
b、将节点信息导入到数据库。
将 ScanNode 扫描失去的 MBFI 和 MBFP、Dir 存入数据库以备后续应用。
MBFI 导入数据库整体流程:
函数执行结束后查看数据库失去如下信息:
小贴士:Netapp 在更改 inode 节点时不会间接笼罩而是重新分配 inode 进行写入。单个文件的节点 node_uid 惟一不变,mbfi_usn 会随着节点的变动而增大(失常状况下提取某个文件时应用 usn 最大的节点)。个别状况下存储划分出的单个节点会作为 LUN 映射到服务器应用,依据 file_size 能够确定这个文件的大小,依照文件大小分组后再选取 usn 最大值的节点,跳转到 MBFI 文件的 offset 值偏移地位,取出节点。
节点样例图示:
c、提取文件
在获取到要提取的文件的 Node 之后,开始提取块设施文件。
提取块设施文件:
初始化结束后,开始提取文件的各级 MAP,在本次提取过程中文件大小均大于 1T,MAP 层级为 4,所以须要提取 4 次。第一级 MAP 默认只占用 1 个块,所以在程序内间接提取,后三级 MAP 在 GetAllMap 函数内进行提取。通过块号计算数据块地位时,因为 NetApp 应用 JBOD 组织 LVM,间接用块号除以每块磁盘上的块数可失去以后块所在的磁盘序号(计算机整数除法,抛弃小数邠);再应用块号取余块数,失去数据块在此磁盘上的物理块号,物理块号乘以块大小,失去数据块偏移地位。
8、块设施文件系统解析。
该案例的块设施 5T lun 用的是 aix 小机的 jfs2 文件系统。因而须要解析 jfs2 文件系统,提取外面的数据库备份文件。
7 扇区记录 lvm 形容信息,获取 pv 大小和 pv 序号;找到 vg 形容区,获取 lv 数和 pv 数;找到 pv 形容区,获取 pp 序号和 pp 数。
解析文件系统块信息:
lv 类型及率挂在信息区域:
解析 8 个由大小 1T 的 lun 组成的 oralce ASM 文件系统,提取其中的数据库文件。
增加 8 个 lT 的 lun:
解析 asm 文件系统,提取出数据库文件:
数据验证:
北亚企安工程师对提取进去的数据进行检测后没有发现异常,分割用户方工程师亲自进行验证,经重复验证,确认本次复原进去的数据残缺可用。