【伺服器資料恢復】EMC Isilon儲存誤刪除的資料恢復案例

伺服器資料恢復環境：

EMC儲存採用NAS（Isilon S系列儲存）；

共三個節點，每一節點配置12塊SATA介面、單盤容量為3T的硬碟。

伺服器故障：

管理員誤刪除虛擬機器，被誤刪除的虛擬機器中儲存的是資料庫、MP4、AS、TS型別的影片檔案等。被誤刪除的虛擬機器是透過

NFS協議共享到ESX主機，影片檔案透過CIFS協議共享給虛擬機器（WEB伺服器），NFS共享的所有資料（虛擬機器）被刪除

而CIFS共享的資料則沒有被刪除。管理員聯絡我們資料恢復中心進行資料恢復。

伺服器資料恢復過程：

1、將所有硬碟進行備份。

2、伺服器資料備份完成後在Isilon的web管理介面中將Isilon正常關機。將備份好的伺服器資料放到北亞資料恢復平臺中對

資料進行分析。

3、本案例伺服器資料丟失的原因是誤刪除，所以不用過多考慮冗餘級別，需要重點分析的是資料刪除後Indoe及資料MAP

是否發生變化。

4、由於伺服器中被刪除的虛擬磁碟檔案大小都在64G或以上，除此之外沒有其他大檔案。北亞資料恢復工程師編寫掃描所

有檔案Indoe的程式，將檔案不小於64G的indoe全部掃描出來。透過對Indoe進行掃描找出資料MAP位置，發現其index

指向的內容已不再是正常資料，並且所有節點上的Indoe均是同樣的情況。

5、再次分析Inode，發現大檔案的資料MAP會有多層（樹結構）,並且資料MAP中會記錄檔案的唯一ID，資料恢復工程師

嘗試找到檔案最底層的資料MAP。資料恢復工程師對檔案最底層的資料MAP做遍歷跟蹤操作，發現最低層的資料MAP還存

在。

6、透過檔案的Inode對檔案的唯一ID進行提取工作，然後對所有符合該ID的資料MAP做聚合。並根據資料MAP中的VCN號

做排序，資料恢復工程師透過分析發現每個檔案的前17088項資料MAP都不存在，理論上每個檔案的前17088項資料是無法

恢復。

7、透過資料換算確定丟失的資料MAP項的大小一共不到1G，刪除的檔案全是虛擬機器的vmdk檔案，裡面都是NTFS的檔案系

統，NTFS檔案系統的MFT基本都在3G的位置。只需要在每個vmdk檔案的頭部手動偽造一個MBR和DBR就可以解釋vmdk裡

面的資料了。

8、對掃描到的資料MAP做解釋，並根據VCN號的順序匯出資料，沒有MAP的情況保留為零。

9、資料恢復工程師將vmdk檔案匯出，發現檔案比實際情況要小、vmdk中MFT的位置也與自身描述不符。手動隨機驗證了

幾個MPA發現都能指向資料區，而程式解釋MAP的方式也都沒有問題。出現這種情況的原因可能為檔案稀疏！

10、北亞資料恢復工程師重新調整了程式碼再次匯出vmdk，這次匯出的資料正常且MFT的位置也在相應位置。手工偽造一個

MBR，分割槽表以及DBR，再用北亞開發的檔案系統解釋工具解釋檔案系統成功，匯出vmdk裡面的資料庫及影片檔案。

11、驗證vmdk中的資料庫及影片檔案沒有發現問題，批次匯出所有重要的vmdk檔案，再手動的去修改每個vmdk檔案。

伺服器資料恢復結果：

將所有重要的資料恢復完成後，由伺服器管理員對恢復出來的所有資料做完整性及準確性檢測，最終確定資料完全沒有問題

，資料恢復成功。