服務器數(shù)據(jù)恢復環(huán)境：
一臺Windows Server服務器，部署Hyper-V虛擬化環(huán)境，虛擬機的硬盤文件和配置文件存放在一臺DELL存儲中。該存儲中有一組由4塊硬盤組建的RAID5陣列，用來存放虛擬機的數(shù)據(jù)文件，另外還有一塊大容量硬盤用來存放虛擬機數(shù)據(jù)文件的備份。

服務器故障&檢測分析：
存儲中虛擬機的數(shù)據(jù)文件丟失，Hyper-V服務癱瘓，虛擬機無法使用。
1、對存儲進行物理故障檢測，未發(fā)現(xiàn)存儲存在物理故障，存儲中所有硬盤均可以正常識別。
2、服務器操作系統(tǒng)工作正常，未發(fā)現(xiàn)有出錯進程。
3、丟失數(shù)據(jù)硬盤的文件系統(tǒng)打開正常，殺毒軟件檢測無病毒。經(jīng)過分析發(fā)現(xiàn)丟失數(shù)據(jù)硬盤的文件系統(tǒng)元文件創(chuàng)建時間與數(shù)據(jù)丟失的時間吻合，這種情況表明文件系統(tǒng)被人為重寫了，即分區(qū)被格式化了。
4、檢查系統(tǒng)日志發(fā)現(xiàn)數(shù)據(jù)丟失之前和數(shù)據(jù)丟失當天的系統(tǒng)日志被清空，審核日志和服務日志卻還在。此操作一般是人為的。因為格式化分區(qū)操作只記錄在系統(tǒng)日志中，這與人為破壞的特征相符。
5、仔細分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)底層中需要恢復的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復。
6、分析操作系統(tǒng)中的所有分區(qū)，發(fā)現(xiàn)只有存儲中的兩個分區(qū)被重新寫入文件系統(tǒng)。因為格式化兩個分區(qū)需要兩個獨立的過程，進一步表明數(shù)據(jù)丟失是人為造成的。

服務器數(shù)據(jù)恢復方案：
根據(jù)前面的的故障分析結果，北亞企安數(shù)據(jù)恢復工程師敲定了數(shù)據(jù)恢復方案：
備份用戶數(shù)據(jù)→重組RAID5陣列→查找原文件索引項及對應的數(shù)據(jù)區(qū)→將掃描到的文件索引項碎片拼接成完整的目錄結構→根據(jù)拼接好的目錄項去底層恢復對應的數(shù)據(jù)→核對數(shù)據(jù)沒問題后恢復所有數(shù)據(jù)。

服務器數(shù)據(jù)恢復過程：
1、將故障存儲中所有的硬盤編號取出后檢測物理故障。經(jīng)過檢測沒有發(fā)現(xiàn)有物理硬盤存在硬件故障。將每塊硬盤以只讀方式做全盤鏡像備份，備份完成后將磁盤按照編號還原到原存儲中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
備份所有硬盤數(shù)據(jù)：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

2、基于鏡像文件分析條帶大小、條帶走向等RAID相關信息。根據(jù)這些RAID相關信息重組RAID5陣列。
重組RAID：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

硬盤陣列：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

3、基于鏡像文件分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)了許多原文件系統(tǒng)的目錄項及文件索引殘留。經(jīng)過核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內容。北亞企安數(shù)據(jù)恢復工程師編寫提取文件索引項的小程序掃描查找所有存在的文件索引項，提取所有找到的文件索引項。
4、分析掃描到的所有文件索引項，發(fā)現(xiàn)索引項都是不連續(xù)的，大多是以16K或8K對齊的。正常情況下，文件索引項是連續(xù)的且大小為固定的1K，每個文件索引項對應一個文件或目錄。而掃描出來的這些不連續(xù)且不完整的文件索引項是無法正常索引到文件的內容。經(jīng)過北亞企安數(shù)據(jù)恢復工程師的處理后已經(jīng)能查到大多數(shù)的文件索引項片段。缺失的文件索引項片段可能被破壞，可以從數(shù)據(jù)備份盤中查找缺失的文件索引項片段。
文件索引項截圖：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

5、根據(jù)文件索引項的編號將找到的所有的文件索引項拼接成一個完整的目錄項結構。
掃描到的文件索引項碎片:

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

6、將拼接好的目錄結構替換現(xiàn)有文件系統(tǒng)中的目錄結構并修改部分校驗值，解釋這個目錄結構后就可以看到丟失的數(shù)據(jù)。
解釋出來的目錄結構：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

7、為了驗證數(shù)據(jù)是否正確，將其中一個較新的VHD文件恢復出來，將其拷貝到一臺支持附加VHD的服務器上，嘗試附加此VHD，結果附加成功。經(jīng)過檢查確認該VHD數(shù)據(jù)完整，然后將所有數(shù)據(jù)恢復到一塊硬盤中。
恢復出來的所有虛擬機數(shù)據(jù)文件：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

8、在一臺測試服務器上搭建Hyper-V的環(huán)境。通過導入虛擬機的方式將恢復的數(shù)據(jù)遷移到Hyper-V環(huán)境。然后交由用戶驗證所有虛擬機是否完整。
導入虛擬機：

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

9、用戶驗證完所有虛擬機沒有發(fā)現(xiàn)問題。將所有數(shù)據(jù)拷貝至用戶準備好的服務器中，將虛擬機導入到用戶準備好的Hyper-V環(huán)境中，導入后無報錯。嘗試啟動所有虛擬機都沒有問題。

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

北亞企安數(shù)據(jù)恢復——Hyper-V數(shù)據(jù)恢復

審核編輯 黃宇