-4006-505-646 -4006-505-646 客户的一台存储服务器中由于未知原因发现虚拟机数据文件丢失,hyper-v服务受到影响导致虚拟机服务器不能正常使用。客户紧急联系了北亚数据恢复中心前往服务器机房进行数据恢复检测。首先由硬件数据恢复工程师对客户的物理服务器进行了故障排查,未发现物理故障;随后由服务器数据恢复工程师对服务器的操作系统进行检测,操作系统也正常;服务器底层的硬盘文件系统未发现病毒破坏迹象;对文件系统进行进一步分析发现元文件创建时间与数据丢失时间一致,初步确认数据丢失的原因是分区格式化、文件系统重写导致。
根据检测结果继续反推服务器数据丢失原因,在系统日志中发现数据丢失当天及以前日期的系统日志不存在,但服务日志、审核日志存在完整,未见破坏痕迹。进一步印证了本次服务器数据丢失的原因与人为操作有关。于是我们的服务器数据恢复工程师尝试对系统日志进行更深一步的分析,但是由于日志文件被覆盖,无法进行恢复。
按照服务器数据恢复工程师的恢复思路,客户虚拟机及所有数据全部存放于存储服务器中,想要恢复上层虚拟化的数据只需要将底层服务器内的数据进行恢复即可,数据恢复工程师将客户服务器内的所有数据进行镜像备份后,开始对镜像文件进行数据恢复操作。
我们数据恢复工程师使用北亚数据恢复中心自主研发的服务器数据恢复工具,对客户原服务器内的数据进行了自动分析和raid重组。
服务器数据恢复工程师对客户的硬盘底层数据进行了扫描,找到大量未被覆盖的文件索引、文件系统目录项等信息,于是数据恢复工程师针对本次案例的实际情况编写了一个小程序,将客户服务器硬盘中的所有文件索引项都进行了扫描和提取。以备后续数据恢复使用。
如果在正常情况下,服务器的文件索引项固定为1KB,呈连续分布状态,每个文件索引项对应一个相应的目录(或文件)。但是数据恢复工程师对提取到的文件索引项进行分析发现这些文件索引项多数以16或8KB对齐,呈不连续且无规律状态分布,这种情况下是无法找到所需的文件内容的,于是数据恢复工程师做了如下操作:
在所有提取出来的文件索引项中搜索“VHD”文件记录,将与之连续的文件索引项提取出来,接着再查看这段提取出来的文件索引项中是否有指向下一段文件索引项的记录或者是H20属性。如果有则根据文件索引项中的特征去匹配下一段文件索引项,如果没有则跳过这段文件索引项。根据以上方法基本能查到大多数的文件索引项片段。而缺失的文件索引项片段有可能被破坏了,但是可以从数据备份盘中去查找缺失的文件索引项片段,因此基本可以搜索到大部分的文件索引项,从而拼接成为一个完整的目录项结构。
服务器数据恢复工程师将重建好的目录结构与服务器原有的文件系统目录结构进行替换,修改部分校验值。使用自研发的服务器数据恢复工具对重建的目录结构进行解析和计算,初步可以看到客户服务器内丢失的数据了。
为了确认恢复出的数据是否完整,服务器数据恢复工程师在恢复出的数据中随机拷贝出一个VHD文件,在数据恢复专用服务器上附加此VHD文件,检查VHD中的数据完整性。
经过服务器数据恢复工程师对恢复结果初步验证没有异常后,在北亚的数据恢复专用服务器上搭建一个新的hyper-v虚拟化环境,将恢复出的数据导入到虚拟化环境中,由客户管理员对数据恢复的结果进行验证。经过验证,本次数据恢复成功。将恢复出的数据迁移回客户的hyper-v环境并启动虚拟机,所有数据正常,本次服务器数据恢复圆满成功。
北京北亚数据恢复中心:4006505646