【伺服器資料恢復】EMC伺服器Isilon儲存誤刪除的資料恢復案例

北亞資料恢復發表於2022-11-23

伺服器資料恢復環境:
EMC伺服器,採用NAS(Isilon S系列儲存);
共三個節點,每一節點配置12塊SATA介面、單盤容量為3T的硬碟。

北亞資料恢復——EMC伺服器資料恢復

北亞資料恢復——EMC伺服器資料恢復

伺服器故障:
管理員誤刪除虛擬機器,被誤刪除的虛擬機器中儲存的是資料庫、MP4、AS、TS型別的影片檔案等。被誤刪除的虛擬機器是透過NFS協議共享到ESX主機,影片檔案透過CIFS協議共享給虛擬機器(WEB伺服器),NFS共享的所有資料(虛擬機器)被刪除而CIFS共享的資料則沒有被刪除。管理員聯絡我們資料恢復中心進行資料恢復。

伺服器資料恢復過程:
1、將所有硬碟進行備份。
2、伺服器資料備份完成後在Isilon的web管理介面中將Isilon正常關機。將備份好的伺服器資料放到北亞資料恢復平臺中對資料進行分析。

北亞資料恢復——EMC伺服器資料恢復

北亞資料恢復——EMC伺服器資料恢復

3、本案例伺服器資料丟失的原因是誤刪除,所以不用過多考慮冗餘級別,需要重點分析的是資料刪除後Indoe及資料MAP是否發生變化。
4、由於伺服器中被刪除的虛擬磁碟檔案大小都在64G或以上,除此之外沒有其他大檔案。北亞資料恢復工程師編寫掃描所有檔案Indoe的程式,將檔案不小於64G的indoe全部掃描出來。透過對Indoe進行掃描找出資料MAP位置,發現其index指向的內容已不再是正常資料,並且所有節點上的Indoe均是同樣的情況。
5、再次分析Inode,發現大檔案的資料MAP會有多層(樹結構),並且資料MAP中會記錄檔案的唯一ID,資料恢復工程師嘗試找到檔案最底層的資料MAP。資料恢復工程師對檔案最底層的資料MAP做遍歷跟蹤操作,發現最低層的資料MAP還存在。
6、透過檔案的Inode對檔案的唯一ID進行提取工作,然後對所有符合該ID的資料MAP做聚合。並根據資料MAP中的VCN號做排序,資料恢復工程師透過分析發現每個檔案的前17088項資料MAP都不存在,理論上每個檔案的前17088項資料是無法恢復。
7、透過資料換算確定丟失的資料MAP項的大小一共不到1G,刪除的檔案全是虛擬機器的vmdk檔案,裡面都是NTFS的檔案系統,NTFS檔案系統的MFT基本都在3G的位置。只需要在每個vmdk檔案的頭部手動偽造一個MBR和DBR就可以解釋vmdk裡面的資料了。
8、對掃描到的資料MAP做解釋,並根據VCN號的順序匯出資料,沒有MAP的情況保留為零。
9、資料恢復工程師將vmdk檔案匯出,發現檔案比實際情況要小、vmdk中MFT的位置也與自身描述不符。手動隨機驗證了幾個MPA發現都能指向資料區,而程式解釋MAP的方式也都沒有問題。出現這種情況的原因可能為檔案稀疏!
10、北亞資料恢復工程師重新調整了程式碼再次匯出vmdk,這次匯出的資料正常且MFT的位置也在相應位置。手工偽造一個MBR,分割槽表以及DBR,再用北亞開發的檔案系統解釋工具解釋檔案系統成功,匯出vmdk裡面的資料庫及影片檔案。
11、驗證vmdk中的資料庫及影片檔案沒有發現問題,批次匯出所有重要的vmdk檔案,再手動的去修改每個vmdk檔案。

北亞資料恢復——EMC伺服器資料恢復

伺服器資料恢復結果:
將所有重要的資料恢復完成後,由伺服器管理員對恢復出來的所有資料做完整性及準確性檢測,最終確定資料完全沒有問題,資料恢復成功。

相關文章