共计 874 个字符,预计需要花费 3 分钟才能阅读完成。
服务器数据恢复环境:
某医院存储服务器,存储了十几年的 CT 照片等文件的备份;
8 块硬盘中的 7 块硬盘作为数据盘组建 RAID5,1 块作为热备盘。
服务器故障:
医院方发现存储服务器中的数据不失常,找过多家数据恢复服务商对故障服务器做过复原操作,具体操作不详。
服务器数据恢复过程:
1、咱们数据恢复核心接手这个 case 后,首先对故障服务器中所有硬盘做镜像备份。
2、基于镜像文件做检测剖析,所有盘均通过异或测试,获取到 7 块数据盘的盘序、块大小、校验形式及热备盘。
3、通过检测发现 7 块数据盘组建的近 2TB 的数据只有一个区,而且这个分区刚刚被格式化过。据此能够推断:要么故障服务器中的 RAID5 被强制上线后格式化;要么就是原始 RAID5 没有损坏,只是被格式化过。
4、文件系统被格式化为 NTFS,逻辑卷前几个 G 的空间内肯定存在大量用户 FILE RECORD,如果能够找到这些文件,应该就能够复原文件。
5、尝试在逻辑卷前几个 G 的空间内寻找用户 FILE RECORD,后果满载而归。呈现这种状况有两种可能:一是被从新初始化后再格式化;二是 $MFT 不在分区后面或者数据分区地位很靠后。
6、试图在其中一块盘中查找所有可知的 FILE RECORD,在 50% 左右的空间区域内发现大量的 FILE RECORD。通过剖析后居然发现原来的盘序、块大小及热备盘和之前剖析的后果都不雷同,盘序更是相差很多。
7、返回每块盘后面物理地址进行察看,发现所有盘前 2G 的数据简直都为 0。联合后面所有的剖析后果,北亚数据恢复工程师最终断定了用户的操作:RAID 产生异样后,用户将局部硬盘取出但未标记盘号,从新插回硬盘后开始初始化。当硬盘开始写操作后发现状况不对,马上对服务器进行了关机操作,重启服务器后发现 RAID 仿佛又失常了。进入零碎后发现逻辑卷空了,于是又对其进行了格式化。
8、从新剖析 RAID 信息,因分区太大无奈重组,北亚数据恢复工程师只能手工批改局部数据并导出,最终复原出 50% 左右的数据。其余数据因 FILE RECORD 失落无奈找到名称与目录,对医院而言,即便复原出这些无奈找到名称与目录的数据也没有意义。