数据库数据恢复环境：

Windows Server操作系统服务器，部署MongoDB数据库。

数据库故障&分析：

在MongoDB数据库服务未关闭的情况下，管理员将MongoDB数据库文件从原分区拷贝到其他分区，然后将MongoDB数据库所在原分区格式化，格式化完成又将MongoDB数据库文件拷回原分区，启动MongoDB服务失败并报错。

在MongoDB数据库服务没有关闭的情况下，直接拷贝MongoDB数据库文件，mongod.lock和WiredTiger.lock这2个文件拷贝出来是有问题的。正确的操作方法是：在拷贝出的数据库文件中将这两个文件删除后再次启动服务，这2个文件会由MongoDB自行重新生成。

通过检测拷贝出的MongoDB数据库文件发现_mdb_catalog.wt文件丢失。

_mdb_catalog.wt文件里存储了MongoDB数据库中所有集合的元数据，MongoDB数据库启动时需要从_mdb_catalog.wt文件中读取相关信息。如果_mdb_catalog.wt文件丢失，MongoDB数据库就无法获取数据库中集合对应的名字、集合的创建选项、集合的索引信息等元数据，数据库无法启动。

数据库数据恢复过程：

1、对MongoDB数据库所涉及的硬盘以只读方式进行全盘镜像备份，后续的数据分析和数据恢复操作都基于镜像文件进行，避免在恢复数据的过程中对原始数据造成二次破坏。

2、尝试从文件系统的层面恢复_mdb_catalog.wt文件。扫描数据库分区没有发现和_mdb_catalog.wt文件相关的信息。根据MongoDB数据库数据文件的特征值扫描数据库分区，也没有发现和_mdb_catalog.wt相关的数据区域。所以可以断定_mdb_catalog.wt文件已经被彻底破坏，无法恢复，只能从数据库层面恢复数据了。

3、该案例中部署的MongoDB数据库基于WT存储引擎，可以使用WT实用工具包提取数据库中的数据。下载WT实用工具包并在windows环境下编译出可执行的wt工具。

4、编译完成后，北亚企安数据恢复工程师使用wt工具清洗数据库的集合文件中的数据，完成清洗后直接读取文件中的数据并写入到一个dump文件中。将数据库的各个集合文件中的全部可用数据提取出来。

5、创建一个MongoDB数据库，根据提取出的集合文件创建对应数量的空集合。使用wt工具将提取出来的dump文件一一写入到新创建的空集合中。

6、通过查询集合中的数据来确认这些写入dump文件的集合与元数据库中集合的对应关系，修改集合名称并重建索引信息。

7、通过查询集合中的记录，确定记录类型。确定fs.files和fs.chunks集合的位置后，修改这两个集合名称为xxx.files和xxx.chunks后并重建集合索引，集合恢复完成后就可以正常查看其中数据。

数据库数据验证：

协助用户方工程师对全部集合进行索引重建之后，由用户对数据库进行查询验证，确认数据无误，本次数据恢复工作完成。