【北亞伺服器資料恢復】異常斷電導致ESXI系統無法連線儲存的資料恢復

伺服器資料恢復環境：

Dell伺服器；

虛擬化系統為esxi；

上層採用iSCSI方式實現FCSAN功能，iSCSI是透過FreeNAS構建；

FreeNAS層採用UFS2檔案系統，虛擬化系統裡有3臺虛擬機器；

其中一臺虛擬機器採用FreeBSD系統，儲存的是資料庫檔案，另外兩臺分別儲存了網站資料和Windows伺服器，儲存的資料

是資料庫和工作程式程式碼。

故障：

異常斷電導致伺服器儲存非正常關機，重啟後ESXI系統無法連線儲存。伺服器管理員發現FreeNAS的UFS2檔案系統由於非

正常關機出現故障，於是對檔案系統進行fsck修復並將ESXI系統連線到伺服器儲存上。

對上層檔案系統及資料進行檢查，發現原伺服器上的檔案系統和儲存資料都無法被識別，伺服器管理員對vmfs執行了格式化

等操作，資料丟失。伺服器管理員聯絡北亞資料恢復中心進行資料恢復，伺服器管理員要求恢復這三臺虛擬機器。

伺服器資料恢復過程：

1、北亞資料恢復中心拿到伺服器硬碟後對FreeNAS層進行映象。

2、對映象進行底層資料分析。北亞資料恢復工程師在儲存內發現了一個900G左右大小命名為iscsidata的大檔案。

3、繼續分析檔案系統結構，根據UFS2檔案系統的儲存結構定位到這個大檔案的iNode資料進行下一步檢查。

4、透過對iNode資料的檢查發現iscsidata檔案此前被重建過，iNode指標所指向的資料量非常少，在這種情況下，想要進

入到vmfs檔案系統層進行資料分析和恢復首先要分析出FreeNAS層面的必要資訊和資料。北亞資料恢復工程師透過分析得

到如下資訊：

UFS2檔案系統塊大小為16kb，segment大小為2kb，柱面組大小為188176kb，每個資料指標大小為8位元組，每個塊可容納

資料指標數量為2048個。

透過這些資訊可以計算出：一個二級指標塊可儲存的資料量=2048*2048*16KB=64GB，三級指標塊可儲存的資料量=64GB

*2048=128TB。

5、資料恢復工程師團隊計劃透過iscsidata檔案的三級指標塊來恢復FreeNAS層的資料，但由於該檔案曾經被重建，導致了

部分指標被重建的資料所覆蓋，原檔案的iNode和重建後的檔案iNode所在的位置完全一致，也沒有其他可用於資料恢復

iNode資料。

6、北亞資料恢復工程師根據伺服器的實際資料情況編寫了比以往資料恢復時條件更寬泛的小程式收集有用的指標塊，並收

集到了大量二級指標塊和三級指標塊。

7、首先分析三級指標塊，但遺憾的是經過檢查後發現這些指標塊都是無效的（應該是重建時被覆蓋了，新的iscsidata檔案

在掛載到ESXi後有個VMFS格式化過程，而 本案例的ESXi版本使用的是GPT分割槽，GPT分割槽會在磁碟最後寫入冗餘的GPT頭

和分割槽表資訊資料，這樣會使用iscsidata檔案的三級指標塊）。

8、繼續分析二級指標塊，對有大量的二級指標塊的指向資料進行DUMP，然後再從磁碟中的資料定位到二級指標。這樣得

到大量DUMP的資料。

9、北亞資料恢復工程師根據以前研究過的NTFS和UFS2檔案系統結構定位到vmfs層，然後定位到DUMP出的單個64GB檔案

，進行資料組合。

10、經過複雜的查詢和重組，最終成功恢復出了伺服器儲存內的3臺虛擬機器及虛擬機器內的全部資料。

伺服器資料恢復結果：

北亞資料恢復工程師將恢復出來的資料上傳到新構建出來的系統中進行驗證，經伺服器管理員親自驗證，確認所有資料恢復

成功。