虚拟化数据恢复环境:
esxi虚拟化服务器;
虚拟机的硬盘文件和配置文件存放在dell存储中;
dell存储中5块硬盘组成raid磁盘阵列,4块硬盘存储虚拟机的数据文件,1块硬盘储存虚拟机数据文件的备份。
hyper-v虚拟化故障&分析:
hyper-v虚拟化文件丢失,虚拟化服务器不可用。管理员联系凯发k8官网下载客户端中心数据恢复中心进行服务器数据恢复。
服务器数据恢复工程师对存储服务器进行物理检测,未发现物理故障,硬盘均正常工作。
检查操作系统未发现出错进程,排除因操作系统bug导致的数据丢失。
分析丢失数据的硬盘的文件系统:打开正常,杀毒软件检测无病毒。分析硬盘的文件系统,发现文件系统的元文件创建时间和文件系统的创建时间与数据丢失的时间相吻合。通常这种故障表明文件系统被人为重写了,即分区被格式化了。
检查系统日志:发现某天之前的系统日志已被清空,审核日志和服务日志并未清空。通常情况下此操作由人为导致。而格式化分区的操作只记录在系统日志中,这符合人为破坏的特征。
尝试恢复系统日志。分析硬盘底层数据,发现硬盘底层中需要恢复的系统日志已被新的日志记录覆盖,无法恢复。
分析操作系统中的所有分区发现只有故障存储中两个分区的文件系统被重新写入文件系统了。通常情况下,对两个分区的格式化需要有两个独立的过程,因此这种针对性的操作应该是人为导致。
定制虚拟机数据恢复方案:
北亚服务器数据恢复工程师会诊后确定以下数据恢复方案。
1、对丢失数据的硬盘做全盘备份镜像备份。
2、分析每个硬盘的底层数据,根据分析获取到的raid结构重组raid阵列。
3、分析重组完的阵列,看能否找到原始文件索引项及对应的数据区。
4、核对找到的文件索引项是否符合用户数据,并检查相应的数据区有无破坏。
5、将扫描到的文件索引项碎片拼接成一个完整的目录结构。
6、根据拼接好的目录项去底层恢复对应的数据并检查数据正确性。
7、检查数据没问题后恢复出所有数据。
虚拟机数据恢复过程:
1.备份用户数据。
将故障存储中所有的硬盘编号标记后从存储中拔出来交给硬件工程师检测硬盘是否存在物理故障。检测没有发现问题后对硬盘做全盘镜像,使用数据恢复工具将硬盘中所有扇区镜像到一块备份硬盘中。
使用专业数据恢复工具备份所有硬盘数据。
2、重组磁盘阵列:
分析每块硬盘上的数据获取到该raid 5磁盘阵列的相关信息:条带大小,条带走向等。根据这些信息重组raid。
如下图:使用专业工具重组raid
如下图:是用专业工具打开raid阵列的情况
3、扫描旧的文件索引项:
分析硬盘底层数据发现硬盘底层中还残留着许多以前文件系统的目录项及文件索引。经过核对发现这些文件索引指向的数据都是用户丢失的文件内容。北亚数据恢复工程师编写一个提取文件索引项的小程序扫描整个硬盘中所有的文件索引项,并提取出所有文件的文件索引项。
4、分析扫描到文件索引项:
分析所有扫描到的文件索引项发现索引项均不连续且大多以14k或6k对齐。正常情况下的文件索引项是连续且大小固定的,每个文件索引项对应一个文件或目录。扫描出来的这些不连续、不完整的文件索引项是无法正常索引到文件的内容,因此需要对扫描出来的文件索引项加工处理。在扫描出来的文件索引项中搜索” .vhd”,能找到一个” .vhd”的文件记录。然后将这段文件索引项提取出来。接着再查看这段提取出来的文件索引项中是否有指向下一段文件索引项的记录或者是h20属性。如果有则根据文件索引项中的特征去匹配下一段文件索引项,如果没有则跳过这段文件索引项。根据上述方法基本能查到大多数的文件索引项片段,缺失的文件索引项片段有可能被破坏了。可以从数据备份盘中去查找缺失的文件索引项片段,这样就可以搜索到大部分的文件索引项。
如下图:文件索引项截图
5、将文件索引项组成完整的目录结构:
根据上述方法找到所有文件索引项,根据文件索引项的编号将其拼接成目录项结构。以下是搜索到的部分文件索引项,由于有部分文件索引项被破坏,因此只能找到大部分文件索引项,但这些文件索引项已经足以拼接成整个目录结构了。
如下图:扫描到的文件索引项碎片
6、修复文件系统
将重建好的目录结构和现有文件系统中的目录结构进行替换,然后使用数据恢复工具修改部分校验值。再使用数据恢复工具解释这个目录结构即可看到原来丢失的数据。
如下图:是用专业工具解释出来的目录结构
为了确定数据是否正确,将其中一个最新的vhd文件恢复出来,然后将其拷贝到一台支持附加vhd的服务器上,尝试附加此vhd。附加成功,检查vhd中最新的数据是否完整,一切检查完整后将所有数据恢复到一块硬盘中。
如下图:是恢复出来的所有虚拟机数据文件
验证数据:
在一台测试服务器上搭建hyper-v的环境,将恢复的虚拟机文件连接到这台服务器上,通过导入虚拟机的方式将恢复的数据都迁移到新的hyper-v环境。最后让管理员来验证所有虚拟机是否完整。
如下图:是虚拟机导入的过程
迁移数据:
在管理员验证完所有虚拟机数据后确认恢复出来的数据可用完整,将所有数据拷贝至用户服务器中,然后用导入的方式将虚拟机导入到用户的hyper-v环境中。
阅读(430) | 评论(0) | 转发(0) |