【虛擬機器資料恢復】Linux系統下誤刪除KVM虛擬機器的資料恢復案例

虛擬機器故障：

一臺Linux作業系統的伺服器，EXT4檔案系統。每臺虛擬機器包含一個qcow2格式的磁碟檔案和一個raw格式的磁碟檔案。

這臺伺服器上的KVM虛擬機器被誤刪除，管理員聯絡我們資料恢復中心要求恢復raw格式的磁碟檔案，主要恢復的是存放數

據庫和程式程式碼等資料的三臺虛擬化伺服器。

虛擬機器資料恢復過程 ：

1、資料恢復工程師拿到這臺伺服器的硬碟後對所有硬碟做映象備份；

2、在映象檔案上分析EXT4檔案系統，定位被刪除虛擬機器磁碟檔案的節點位置，獲取磁碟檔案殘留的索引資訊；

3、校驗殘留索引資訊的正確性，修復破壞不嚴重的索引；

圖為獲取的索引等資訊：

4、索引修復完成後，解析殘留的各級索引，從虛擬機器所在的卷中提取虛擬磁碟檔案；

5、根據虛擬磁碟檔案的提取情況，獲取卷中未被索引到的自由空間；

6、校驗提取出來的磁碟檔案的正確性與完整性；

7、從自由空間中獲取有效資訊，嘗試對虛擬磁碟檔案進行修補（如節點，目錄項，資料庫頁等資訊）。

圖為提取出的自由空間：

8、由於索引丟失，提取出的虛擬磁碟檔案並不完整。針對資料庫檔案有丟失的情況，可以從自由空間中獲取資料庫頁去對

資料庫檔案進行修補，但由於部分頁所在區域被覆蓋佔用，只能儘量多的去補頁；

9、對於存放程式程式碼的伺服器中的節點和目錄項丟失的情況，若節點或目錄項有殘留，可以嘗試去補齊節點和目錄項。但

部分檔案的節點和目錄項都丟失了。由於節點和目錄項之間的相關聯，這種情況無法補齊。由於程式程式碼檔案不具備一定

規律性，如果資料區丟失則無法補齊。

圖為恢復出的部分目錄結構：

資料驗證：

在儘可能的嘗試對虛擬磁碟檔案及其中的資料庫檔案修補之後，由管理員對資料進行驗證。由於上述的原因，資料有小部分

丟失，但是恢復出來重要的資料沒有問題，這次資料恢復工作有效。