伺服器資料恢複環境:
WinServer作業系統伺服器,部署Hyper-V虛拟機環境;
虛拟機的硬碟檔案和配置檔案存儲在一台儲存設備中;
該儲存設備配置:一組4盤raid5陣列存放虛拟機資料+單塊盤存放虛拟機資料備份。
伺服器故障:
由于MD3200存儲中虛拟機的資料檔案丢失,導緻整個Hyper-V服務癱瘓,虛拟機無法使用。
伺服器故障檢測:
1、檢測實體故障,結果沒有發現實體故障問題,所有硬碟均正常。
2、檢測作業系統:作業系統正常運作,未發現錯誤程序。
3、檢測丢失資料硬碟的檔案系統:打開正常,檢測無病毒,排除病毒破壞。繼續分析丢失資料硬碟的檔案系統,發現檔案系統的元檔案建立時間(即檔案系統的建立時間)與資料丢失的時間相同。這種情況意味着檔案系統被人為重寫,即分區被格式化了。
4、檢查系統日志:系統日志資料丢失之前及當天的系統日志已被清空,但是稽核日志和服務日志還在,恰巧格式化分區的操作隻記錄在系統日志中。這種情況再次印證這次資料災難是人為導緻的。
5、嘗試恢複系統日志,從底層資料檢視發現需要恢複的系統日志已被新的日志記錄覆寫,無法恢複。
6、分析所有分區,發現隻有兩個分區的檔案系統被重新寫入新的檔案系統。因為兩個分區的格式化需要有兩個獨立的過程,這種針對性的操作再次證明本次資料災難由人為操作導緻。
伺服器資料恢複過程:
1、将故障儲存設備中所有的硬碟編号取出,以隻讀方式對所有硬碟做全盤鏡像,後續的資料分析和資料恢複操作都基于鏡像檔案進行,避免對原始資料造成二次破壞。
備份所有硬碟資料:
北亞企安資料恢複——Hyper-V資料恢複
2、鏡像完成後,基于鏡像檔案分析RAID5磁盤陣列相關資訊如條帶大小、條帶走向等。根據這些資訊重組raid5磁盤陣列。
重組RAID5磁盤陣列:
北亞企安資料恢複——Hyper-V資料恢複
打開RAID5磁盤陣列:
北亞企安資料恢複——Hyper-V資料恢複
3、分析硬碟底層資料發現還殘留着許多以前檔案系統的目錄項及檔案索引。經過核對發現這些檔案索引指向的資料都是使用者丢失的檔案内容。北亞企安資料恢複工程師編寫提取檔案索引項的小程式掃描并提取所有檔案的檔案索引項。
4、分析提取出來的檔案索引項,發現這些索引項都是不連續的,大多數都是以16K或8K對齊的。正常情況下檔案索引項是連續的,大小為固定的1K,每個檔案索引項對應一個檔案或目錄。而掃描出來的這些不連續并且不完整的檔案索引項是無法正常索引到檔案内容的,是以需要處理這些掃描出來的檔案索引項。
在掃描出來的檔案索引項中搜尋” .VHD”,能找到一個” .VHD”的檔案記錄,然後将這個片連續的檔案索引項提取出來。
接着再檢視這段提取出來的檔案索引項中是否有指向下一段檔案索引項的記錄或者H20屬性。如果有則根據檔案索引項中的特征去比對下一段檔案索引項,如果沒有則跳過這段檔案索引項。
根據以上方法能找到了大多數的檔案索引項片段,而缺失的檔案索引項片段有可能被破壞了,可以從資料備份盤中去查找缺失的檔案索引項片段,最終可以找到大部分的檔案索引項。
檔案索引項截圖:
北亞企安資料恢複——Hyper-V資料恢複
5、找到所有能找到的檔案索引項之後,根據檔案索引項的編号将其拼接成整個目錄項結構。以下是搜尋到的部分檔案索引項,雖然小部分檔案索引項被破壞,但這些找到的檔案索引項已經足夠拼接整個目錄結構。
掃描到的檔案索引項碎片:
北亞企安資料恢複——Hyper-V資料恢複
6、将重建好的目錄結構替換現有檔案系統中的目錄結構并修改部分校驗值,然後解釋這個目錄結構就可以看到丢失的資料了。
解釋出來的目錄結構:
北亞企安資料恢複——Hyper-V資料恢複
北亞企安資料恢複——Hyper-V資料恢複
為了驗證資料是否正确,将其中一個最新的VHD檔案拷貝到一台支援附加VHD的伺服器上,嘗試附加此VHD,結果附加成功。檢查VHD中最新的資料的完整度,沒有發現問題後将所有資料恢複到一塊硬碟中。
恢複出來的所有虛拟機資料檔案:
北亞企安資料恢複——Hyper-V資料恢複
7、在一台測試伺服器上搭建Hyper-V環境,将恢複出來的虛拟機檔案連接配接到這台伺服器上,通過導入虛拟機的方式将恢複出來的資料都遷移到新的Hyper-V環境,然後讓使用者親自驗證所有虛拟機。
虛拟機導入的過程:
北亞企安資料恢複——Hyper-V資料恢複
8、使用者驗證所有虛拟機沒有問題後,将所有資料拷貝至使用者準備好的伺服器中。用導入的方式将虛拟機導入到使用者準備好的Hyper-V環境中。導入過程中和導入後都沒有報錯,嘗試啟動所有虛拟機都沒有發現問題。本次資料恢複工作完成。
北亞企安資料恢複——Hyper-V資料恢複
北亞企安資料恢複——Hyper-V資料恢複
北亞企安資料恢複——Hyper-V資料恢複