【北亞資料恢復】伺服器誤刪除卷導致raid5陣列資料丟失的資料恢復

伺服器故障：

使用者誤刪除了伺服器上的卷，raid5磁碟陣列資料丟失，聯絡北亞資料恢復中心進行資料恢復。

伺服器資料恢復過程：

經過檢測，伺服器沒有物理故障。可以從raid5磁碟陣列層面進行資料恢復。

1、分析超級快資訊，記錄raid陣列起始塊位置。

北亞資料恢復工程師對伺服器raid陣列進行資料分析，獲取到陣列的邏輯起始塊位置號。

2、去除raid陣列的校驗盤。

經過分析，這組raid5陣列中每個資料塊大小為8扇區，每個資料塊後有一個附加的資料塊描述資訊，大小為64位元組，

由此在底層找到的0X10位置為FFFF的就是要找的校驗塊。

3、分析aggr盤序。

由於之前透過分析已經獲知陣列中的資料塊大小為8扇區，所以在進行盤序分析時也依據每塊磁碟的8號扇區進行分析，

確定每塊硬碟各自歸屬的組，再還原硬碟在各自的組內的排序。

4、分析raid磁碟陣列節點資訊。

伺服器的節點分佈在不同的資料塊內組成節點組，前面已經分析出每64位元組記錄一些系統資料，之後用192位元組為一項

記錄各個檔案節點。根據使用者級別可分為兩類：“MBFP”系統檔案節點和“MBFI”使用者檔案節點，在資料恢復時一般

只取MBFI節點組即可。

頭部資訊64位元組

解析如下：（此頭部為資料檔案的節點檔案塊頭部，大小為64位元組）

標誌，常量（“MBFP”為元檔案的節點標誌，“MBFI”為使用者檔案的節點標誌）；

根據更新序列值獲取到最新節點；

解析節點中節點型別，邏輯塊號，檔案數量，檔案大小，所佔塊數量，及資料指標；

獲取節點在節點檔案中的邏輯塊號，從0開始計數。

5、獲取目錄項，並根據其節點編號，找到對應節點。

6、編寫資料提取程式恢復伺服器資料。

根據分析到的raid陣列資訊重組raid5陣列，北亞資料恢復工程師編寫資料恢復小程式提取伺服器內的資料。

7、搭建伺服器環境驗證資料。

在北亞專用資料恢復伺服器上搭建了與原伺服器相同的環境，在上層應用內對資料進行驗證，驗證無誤後由伺服器管理員

對資料進行最終驗證，經管理員驗證，本次伺服器內的所有資料全部恢復，完整可用。