伺服器資料恢復環境:
某醫院儲存伺服器,儲存了十幾年的CT照片等檔案的備份;
8塊硬碟中的7塊硬碟作為資料盤組建RAID5,1塊作為熱備盤。
伺服器故障:
醫院方發現儲存伺服器中的資料不正常,找過多家資料恢復服務商對故障伺服器做過恢復操作,具體操作不詳。
伺服器資料恢復過程:
1、我們資料恢復中心接手這個case後,首先對故障伺服器中所有硬碟做映象備份。
2、基於映象檔案做檢測分析,所有盤均透過異或測試,獲取到7塊資料盤的盤序、塊大小、校驗方式及熱備盤。
3、經過檢測發現7塊資料盤組建的近2TB的資料只有一個區,而且這個分割槽剛剛被格式化過。據此可以推斷:要麼故障伺服器中的RAID5被強制上線後格式化;要麼就是原始RAID5沒有損壞,只是被格式化過。
4、檔案系統被格式化為NTFS,邏輯卷前幾個G的空間內一定存在大量使用者FILE RECORD,如果可以找到這些檔案,應該就可以恢復檔案。
5、嘗試在邏輯卷前幾個G的空間內尋找使用者FILE RECORD,結果一無所獲。出現這種情況有兩種可能:一是被重新初始化後再格式化;二是$MFT不在分割槽前面或者資料分割槽位置很靠後。
6、試圖在其中一塊盤中查詢所有可知的FILE RECORD,在50%左右的空間區域內發現大量的FILE RECORD。經過分析後竟然發現原來的盤序、塊大小及熱備盤和之前分析的結果都不相同,盤序更是相差很多。
7、返回每塊盤前面實體地址進行觀察,發現所有盤前2G的資料幾乎都為0。結合前面所有的分析結果,北亞資料恢復工程師最終判定了使用者的操作:RAID發生異常後,使用者將部分硬碟取出但未標記盤號,重新插回硬碟後開始初始化。當硬碟開始寫操作後發現情況不對,馬上對伺服器進行了關機操作,重啟伺服器後發現RAID似乎又正常了。進入系統後發現邏輯卷空了,於是又對其進行了格式化。
8、重新分析RAID資訊,因分割槽太大無法重組,北亞資料恢復工程師只能手工修改部分資料並匯出,最終恢復出50%左右的資料。其餘資料因FILE RECORD丟失無法找到名稱與目錄,對醫院而言,即使恢復出這些無法找到名稱與目錄的資料也沒有意義。