服务器数据恢复环境:
WinServer 操作系统服务器,部署 Hyper- V 虚拟机环境;
虚拟机的硬盘文件和配置文件存储在一台存储设备中;
该存储设备配置:一组 4 盘 raid5 阵列寄存虚拟机数据 + 单块盘寄存虚拟机数据备份。
服务器故障:
因为 MD3200 存储中虚拟机的数据文件失落,导致整个 Hyper- V 服务瘫痪,虚拟机无奈应用。
服务器故障检测:
1、检测物理故障,后果没有发现物理故障问题,所有硬盘均失常。
2、检测操作系统:操作系统失常运行,未发现错误过程。
3、检测失落数据硬盘的文件系统:关上失常,检测无病毒,排除病毒破坏。持续剖析失落数据硬盘的文件系统,发现文件系统的元文件创建工夫(即文件系统的创立工夫)与数据失落的工夫雷同。这种状况意味着文件系统被人为重写,即分区被格式化了。
4、查看系统日志:系统日志数据失落之前及当天的系统日志已被清空,然而审核日志和服务日志还在,凑巧格式化分区的操作只记录在系统日志中。这种状况再次印证这次数据劫难是人为导致的。
5、尝试复原系统日志,从底层数据查看发现须要复原的系统日志已被新的日志记录笼罩,无奈复原。
6、剖析所有分区,发现只有两个分区的文件系统被从新写入新的文件系统。因为两个分区的格式化须要有两个独立的过程,这种针对性的操作再次证实本次数据劫难由人为操作导致。
服务器数据恢复过程:
1、将故障存储设备中所有的硬盘编号取出,以只读形式对所有硬盘做全盘镜像,后续的数据分析和数据恢复操作都基于镜像文件进行,防止对原始数据造成二次毁坏。
备份所有硬盘数据:
2、镜像实现后,基于镜像文件剖析 RAID5 磁盘阵列相干信息如条带大小、条带走向等。依据这些信息重组 raid5 磁盘阵列。
重组 RAID5 磁盘阵列:
关上 RAID5 磁盘阵列:
3、剖析硬盘底层数据发现还残留着许多以前文件系统的目录项及文件索引。通过核查发现这些文件索引指向的数据都是用户失落的文件内容。北亚企安数据恢复工程师编写提取文件索引项的小程序扫描并提取所有文件的文件索引项。
4、剖析提取进去的文件索引项,发现这些索引项都是不间断的,大多数都是以 16K 或 8K 对齐的。失常状况下文件索引项是间断的,大小为固定的 1K,每个文件索引项对应一个文件或目录。而扫描进去的这些不间断并且不残缺的文件索引项是无奈失常索引到文件内容的,因而须要解决这些扫描进去的文件索引项。
在扫描进去的文件索引项中搜寻”.VHD”,能找到一个”.VHD”的文件记录,而后将这个片间断的文件索引项提取进去。
接着再查看这段提取进去的文件索引项中是否有指向下一段文件索引项的记录或者 H20 属性。如果有则依据文件索引项中的特色去匹配下一段文件索引项,如果没有则跳过这段文件索引项。
依据以上办法能找到了大多数的文件索引项片段,而缺失的文件索引项片段有可能被毁坏了,能够从数据备份盘中去查找缺失的文件索引项片段,最终能够找到大部分的文件索引项。
文件索引项截图:
5、找到所有能找到的文件索引项之后,依据文件索引项的编号将其拼接成整个目录项构造。以下是搜寻到的局部文件索引项,尽管小局部文件索引项被毁坏,但这些找到的文件索引项曾经足够拼接整个目录构造。
扫描到的文件索引项碎片:
6、将重建好的目录构造替换现有文件系统中的目录构造并批改局部校验值,而后解释这个目录构造就能够看到失落的数据了。
解释进去的目录构造:
为了验证数据是否正确,将其中一个最新的 VHD 文件拷贝到一台反对附加 VHD 的服务器上,尝试附加此 VHD,后果附加胜利。查看 VHD 中最新的数据的残缺度,没有发现问题后将所有数据恢复到一块硬盘中。
复原进去的所有虚拟机数据文件:
7、在一台测试服务器上搭建 Hyper- V 环境,将复原进去的虚拟机文件连贯到这台服务器上,通过导入虚拟机的形式将复原进去的数据都迁徙到新的 Hyper- V 环境,而后让用户亲自验证所有虚拟机。
虚拟机导入的过程:
8、用户验证所有虚拟机没有问题后,将所有数据拷贝至用户筹备好的服务器中。用导入的形式将虚拟机导入到用户筹备好的 Hyper- V 环境中。导入过程中和导入后都没有报错,尝试启动所有虚拟机都没有发现问题。本次数据恢复工作实现。