虛拟機資料恢複環境:
一台某品牌720伺服器,4塊STAT硬碟通過RAID卡組建raid10磁盤陣列。部署的XenServer虛拟化平台+Windows Server作業系統,共兩個虛拟磁盤:資料盤+系統盤。伺服器作為Web伺服器使用,上層部署ASP + SQL Server。
虛拟機故障&檢測:
機房斷電導緻XenServer中的一台VPS不可用,XenServer虛拟機磁盤檔案丢失。
将故障伺服器中所有磁盤編号後取出,以隻讀方式做全盤鏡像,鏡像完成後将磁盤按照編号還原到原伺服器中,後續的資料分析和資料恢複操作都基于鏡像檔案進行,避免對原始磁盤資料造成二次破壞。
基于鏡像檔案分析故障伺服器中的磁盤資料,北亞企安資料恢複工程師發現故障伺服器中的磁盤是通過LVM進行管理,每一個虛拟磁盤為一個lv,虛拟磁盤為精簡模式,XenServer記錄lvm的相關資訊。
在/etc/lvm/backup/目錄下查找lvm相關資訊,結果沒有發現損壞的虛拟磁盤資訊,lvm資訊應該是被更新過。是以隻能通過分析底層資料來嘗試查詢未被更新的lvm資訊。查詢結果如下:
北亞企安資料恢複——XenServer資料恢複
資料恢複工程師通過查詢到的未被更新的lvm資訊找到虛拟磁盤的資料區域,結果發現資料已被破壞。确定虛拟機不可用的原因:虛拟磁盤被破壞,作業系統和資料丢失。
虛拟機資料恢複過程:
經過北亞企安資料恢複工程師團隊經過會診後,敲定了2套資料恢複方案:
資料恢複方案一:
根據RAR壓縮封包件的存儲結構規律提取資料的開始位置,将備份資料庫壓縮封包件名和現有壓縮包開始位置的檔案名進行比對,定位資料庫壓縮包的起始位置,恢複這片壓縮包的區域即可。
資料恢複的過程十分順利,解壓恢複出來的RAR格式檔案時卻報錯“rar壓縮檔案底層損壞”。使用RAR修複工具對部分資料解壓後查詢,結果發現除部分網站代碼外沒有可用的資料庫備份檔案。方案一失敗。
北亞企安資料恢複——XenServer資料恢複
北亞企安資料恢複——XenServer資料恢複
資料恢複方案二:
SQL Server資料庫通常會在第9頁記錄資料庫庫名,在每個頁中都會記錄資料庫頁編号&檔案号。可以通過底層資料分析資料庫起始位置,在底層掃描出符合資料庫頁的資料碎片,利用資料碎片重組mdf檔案,mdf檔案重組後通過mdf校驗程式檢測檔案的完整性,整個過程沒有發現問題。
搭建新的資料庫環境,将恢複出來的資料附加到環境中。實施過程截圖:
北亞企安資料恢複——XenServer資料恢複
北亞企安資料恢複——XenServer資料恢複
附加成功後經過資料恢複工程師和使用者方工程師的反複檢測,沒有發現問題,确認恢複出來的資料完成有效,本次資料恢複工作完成。