服務器數(shù)據(jù)恢復環(huán)境&故障：
北京某公司一臺配有72塊SAS硬盤的服務器，管理員誤操作刪除了該服務器中的12個lun，這12個lun中包含了該公司的客戶信息以及其他重要數(shù)據(jù)，急需恢復服務器數(shù)據(jù)。

服務器數(shù)據(jù)恢復過程：
1、將故障服務器所有硬盤以只讀方式做扇區(qū)級別的鏡像備份。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于鏡像文件進行，避免對原始數(shù)據(jù)造成二次破壞。
2、北亞企安數(shù)據(jù)恢復工程師基于鏡像文件分析服務器底層數(shù)據(jù)，找到盤頭位置的超級塊，通過分析超級塊信息獲取到磁盤組的起始塊信息、磁盤組名稱、邏輯組起始塊號、raid編號等基本信息。

分析超級塊：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

3、通過分析得知每個數(shù)據(jù)塊占8個扇區(qū)，數(shù)據(jù)塊后附加64字節(jié)數(shù)據(jù)塊描述信息，根據(jù)這些信息判斷出作為校驗盤的磁盤并在數(shù)據(jù)恢復過程中將這些磁盤剔除。
0x10：6字節(jié)為aggr_data塊號
如果0x10處為FFFF表示校驗塊

校驗塊描述信息樣例：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

4、在進行盤序分析時可以根據(jù)每塊磁盤8號扇區(qū)的磁盤信息和磁盤末尾的RAID盤序表來確定盤序。
a、確定各個磁盤所屬aggr組。
b、判斷組內盤序。數(shù)據(jù)指針跳轉時不考慮校驗盤，只需要取得數(shù)據(jù)盤的盤序即可。
aggr_raid(磁盤靠近尾部) 根據(jù)10H處的VCN塊號判斷磁盤組內各盤的順序

分析盤序表：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

小貼士：Netapp的節(jié)點分布在數(shù)量眾多的數(shù)據(jù)塊內，在數(shù)據(jù)塊內又被統(tǒng)一組織為節(jié)點組。每個節(jié)點組的前64字節(jié)記錄系統(tǒng)數(shù)據(jù)，然后以192字節(jié)為一項來記錄各個文件節(jié)點。文件節(jié)點根據(jù)用戶級別分為兩類：“MBFP”系統(tǒng)文件節(jié)點和“MBFI”用戶文件節(jié)點，數(shù)據(jù)恢復一般只需要MBFI節(jié)點組。

服務器節(jié)點樣例圖：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

說明：
頭部信息64字節(jié)（此頭部為數(shù)據(jù)文件的節(jié)點文件塊頭部，大小為64字節(jié)）
標志，常量（“MBFP”為元文件的節(jié)點標志，“MBFI”為用戶文件的節(jié)點標志）

5、根據(jù)更新序列值獲取到最新節(jié)點。解析節(jié)點中節(jié)點類型、邏輯塊號、文件數(shù)量、文件大小、所占塊數(shù)量及數(shù)據(jù)指針，獲取節(jié)點在節(jié)點文件中的邏輯塊號，從0開始計數(shù)。
6、獲取目錄項，并根據(jù)其節(jié)點編號，找到對應節(jié)點。

獲取服務器內對應節(jié)點截圖：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

7、提取服務器數(shù)據(jù)。
a、掃描節(jié)點信息。

掃描服務器節(jié)點信息：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

節(jié)點掃描類：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

節(jié)點掃描程序完整流程：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

在循環(huán)掃描完畢之后會將所有掃描到的MBFP、MBFI和DOC數(shù)據(jù)塊分別寫入到三個文件內，用于后續(xù)處理。

b、將節(jié)點信息導入到數(shù)據(jù)庫。

將ScanNode掃描得到的MBFI和MBFP、Dir存入數(shù)據(jù)庫以備后續(xù)使用。

MBFI導入數(shù)據(jù)庫整體流程：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

函數(shù)執(zhí)行完畢后查看數(shù)據(jù)庫得到如下信息：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

小貼士：Netapp在更改inode節(jié)點時不會直接覆蓋而是重新分配inode進行寫入。單個文件的節(jié)點node_uid唯一不變，mbfi_usn會隨著節(jié)點的變化而增大（正常情況下提取某個文件時使用usn最大的節(jié)點）。一般情況下存儲劃分出的單個節(jié)點會作為LUN映射到服務器使用，根據(jù)file_size可以確定這個文件的大小，按照文件大小分組后再選取usn最大值的節(jié)點，跳轉到MBFI文件的offset值偏移位置，取出節(jié)點。

節(jié)點樣例圖示：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

c、提取文件
在獲取到要提取的文件的Node之后，開始提取塊設備文件。
提取塊設備文件：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

初始化完畢后，開始提取文件的各級MAP，在本次提取過程中文件大小均大于1T，MAP層級為4，所以需要提取4次。第一級MAP默認只占用1個塊，所以在程序內直接提取，后三級MAP在GetAllMap函數(shù)內進行提取。通過塊號計算數(shù)據(jù)塊位置時，由于NetApp使用JBOD組織LVM，直接用塊號除以每塊磁盤上的塊數(shù)可得到當前塊所在的磁盤序號（計算機整數(shù)除法，丟棄小數(shù)邠）；再使用塊號取余塊數(shù)，得到數(shù)據(jù)塊在此磁盤上的物理塊號，物理塊號乘以塊大小，得到數(shù)據(jù)塊偏移位置。

8、塊設備文件系統(tǒng)解析。
該案例的塊設備5T lun用的是aix小機的jfs2文件系統(tǒng)。因此需要解析jfs2文件系統(tǒng)，提取里面的數(shù)據(jù)庫備份文件。
7扇區(qū)記錄lvm描述信息，獲取pv大小和pv序號；找到vg描述區(qū)，獲取lv數(shù)和pv數(shù)；找到pv描述區(qū)，獲取pp序號和pp數(shù)。

解析文件系統(tǒng)塊信息：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

lv類型及率掛在信息區(qū)域：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

解析8個由大小1T的lun組成的oralce ASM文件系統(tǒng)，提取其中的數(shù)據(jù)庫文件。

添加8個lT的lun：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

解析asm文件系統(tǒng)，提取出數(shù)據(jù)庫文件：

北亞企安數(shù)據(jù)恢復——Netapp數(shù)據(jù)恢復

數(shù)據(jù)驗證：
北亞企安工程師對提取出來的數(shù)據(jù)進行檢測后沒有發(fā)現(xiàn)異常，聯(lián)系用戶方工程師親自進行驗證，經(jīng)反復驗證，確認本次恢復出來的數(shù)據(jù)完整可用。

審核編輯黃宇