虛擬化環(huán)境：
某品牌720服務器中有一組通過型號為H710P的RAID卡+4塊STAT硬盤組建的RAID10，上層部署Xen Server服務器虛擬化平臺。虛擬機安裝的Windows Server系統，運行Web服務器。有系統盤 + 數據盤兩個虛擬機磁盤。

虛擬化故障：
機房斷電導致XenServer服務器中一臺VPS（XenServer虛擬機）不可用，虛擬磁盤文件丟失。

虛擬化數據恢復過程：
1、將故障服務器中的硬盤編號后取出，掛接到準備好的數據恢復服務器上。以只讀方式將所有硬盤做完整鏡像，鏡像完成后將所有硬盤根據編號按照原樣還原到原服務器上。后續(xù)的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
2、基于鏡像文件分析所有硬盤底層數據，發(fā)現服務器中虛擬機的磁盤是通過LVM來管理的，即每個虛擬機的虛擬磁盤都是一個LV，虛擬磁盤采用精簡模式。LVM的相關信息記載在Xen Server中，查看LVM的相關信息發(fā)現并沒有存在損壞的虛擬磁盤信息，因此可以斷定LVM的信息已經被更新了。接著分析底層看能否找到未被更新的LVM信息，果不其然在底層發(fā)現了還未更新的LVM信息。

北亞企安數據恢復—XenServer數據恢復

3、北亞企安數據恢復工程師根據未被更新的LVM信息找到虛擬磁盤的數據區(qū)域，發(fā)現該區(qū)域的數據已被破壞。分析后發(fā)現虛擬機的虛擬磁盤被破壞導致虛擬機中的操作系統和數據丟失。仔細核對這片區(qū)域后發(fā)現很多數據庫的頁碎片。
經過會診，北亞企安數據恢復工程師確定了2套數據恢復方案。
4、數據恢復方案一：
根據RAR壓縮包的結構找到壓縮包的數據開始位置，RAR壓縮包文件的第一個扇區(qū)中會記錄此RAR的文件名。根據從用戶方獲取到的備份數據庫的壓縮包文件名和找到的壓縮包的文件名相匹配，即可找到備份數據庫壓縮包的開始位置。找到壓縮包的位置后仔細分析這片區(qū)域的數據，然后將此區(qū)域的數據恢復出來重命名為一個RAR格式的壓縮文件。嘗試解壓此壓縮包，結果報錯。

北亞企安數據恢復—XenServer數據恢復

仔細分析恢復出來的壓縮包，發(fā)現中部分數據被破壞了，因此解壓報錯。嘗試使用RAR修復工具進行修復。修復完成之后解壓，解壓的數據中只發(fā)現網站的部分代碼，并沒有發(fā)現數據庫?？梢耘袛鄠浞菸募p壞。
解壓出來的部分網站代碼：

北亞企安數據恢復—XenServer數據恢復

5、數據恢復方案二：
由于方案一無法將數據庫恢復出來，因此采用方案二恢復數據。
根據SQL Server數據庫的結構去底層分析數據庫的開始位置。在SQL Server數據庫的結構中，第9個頁會記錄本數據庫的數據庫名。因此，獲取到數據庫的名稱之后，通過分析底層找到數據庫的開始位置。
在SQL Server數據庫的每個頁中都會記錄數據庫頁編號以及文件號。北亞企安數據恢復工程師根據SQL Server數據庫的這些特征編寫程序在底層掃描符合數據庫頁的數據。
將掃描出來的碎片按順序重組成一個完整MDF文件。通過MDF校驗程序檢測MDF文件的完整性。
重建的MDF文件：

北亞企安數據恢復—XenServer數據恢復

6、檢測沒有問題后，搭建數據庫環(huán)境，并將重組后的數據庫附加到搭建好的數據庫環(huán)境中。查詢相關表數據是否正常，以及最新數據是否存在。

北亞企安數據恢復—XenServer數據恢復

7、由于需要結合網站代碼才能更好的驗證數據庫的完整性。搭建好了網站之后，將恢復出來的數據庫發(fā)給用戶方。經過用戶驗證后，數據庫沒有問題。數據恢復工作完成。

審核編輯 黃宇