【虛擬化資料恢復】KVM虛擬機器誤刪除資料恢復案例

虛擬化資料恢復環境：

Linux系統，EXT4檔案系統；

每臺虛擬機器包含1個qcow2格式的磁碟檔案+1個1.2T的raw格式的磁碟檔案。

虛擬機器故障：

KVM虛擬機器被機房管理員誤操作刪除掉了。需要恢復的是raw格式的磁碟檔案，主要是三臺虛擬化伺服器，存放的是資料庫

，程式程式碼等資料。

虛擬機器資料恢復過程：

1、分析EXT4檔案系統，定位被刪除虛擬機器磁碟檔案的節點位置；

2、獲取磁碟檔案殘留的索引資訊；

3、校驗殘留索引資訊的正確性，修復破壞不嚴重的索引；

4、修復完成後，解析殘留的各級索引，從虛擬機器所在的卷中提取虛擬磁碟檔案；

5、根據虛擬磁碟檔案的提取情況，獲取卷中未被索引到的自由空間；

6、校驗提取出的磁碟檔案的正確性與完整性；

7、從自由空間中獲取有效資訊，北亞資料恢復工程師嘗試對虛擬磁碟檔案進行修補（如節點，目錄項，資料庫頁等資訊）。

虛擬機器資料恢復結果：

1、由於索引丟失，提取出的虛擬磁碟檔案並不完整，針對資料庫伺服器，資料庫檔案有丟失的情況，可以從自由空間中獲

取資料庫頁去對資料庫檔案進行修補，但由於部分頁所在區域被覆蓋佔用，只能儘量多的去補頁；

2、對於存放程式程式碼的伺服器中的節點和目錄項丟失的情況，若節點或目錄項有殘留，可以嘗試去補齊節點和目錄項，但

發現部分檔案的節點和目錄項同時丟失。根據節點和目錄項之間相關聯的特性，這種情況下無法補齊。根據程式程式碼檔案的

特性，不具備一定的規律性，若其資料區丟失，無法補齊。

資料驗證及結果：

在儘可能的嘗試對虛擬磁碟檔案及其中的資料庫檔案修補之後，由伺服器管理員對資料進行驗證。資料有小部分丟失，整體

可以接受，資料恢復有效。