【伺服器資料恢復】RAID5強制上線中止後邏輯卷又被格式化的資料恢復案例

務器資料恢復環境：

某醫院儲存伺服器，儲存了十幾年的CT照片等檔案的備份；

8塊硬碟中的7塊硬碟作為資料盤組建RAID5，1塊作為熱備盤。

伺服器故障：

醫院方發現儲存伺服器中的資料不正常，找過多家資料恢復服務商對故障伺服器做過恢復操作，具體操作不詳。

伺服器資料恢復過程：

1、我們資料恢復中心接手這個case後，首先對故障伺服器中所有硬碟做映象備份。

2、基於映象檔案做檢測分析，所有盤均透過異或測試，獲取到7塊資料盤的盤序、塊大小、校驗方式及熱備盤。

3、經過檢測發現7塊資料盤組建的近2TB的資料只有一個區，而且這個分割槽剛剛被格式化過。據此可以推斷：要麼故障伺服器

中的RAID5被強制上線後格式化；要麼就是原始RAID5沒有損壞，只是被格式化過。

4、檔案系統被格式化為NTFS，邏輯卷前幾個G的空間內一定存在大量使用者FILE RECORD，如果可以找到這些檔案，應該就可

以恢復檔案。

5、嘗試在邏輯卷前幾個G的空間內尋找使用者FILE RECORD，結果一無所獲。出現這種情況有兩種可能：一是被重新初始化後

再 格式化；二是$MFT不在分割槽前面或者資料分割槽位置很靠後。

6、試圖在其中一塊盤中查詢所有可知的FILE RECORD，在50%左右的空間區域內發現大量的FILE RECORD。經過分析後竟然

發現原來的盤序、塊大小及熱備盤和之前分析的結果都不相同，盤序更是相差很多。

7、返回每塊盤前面實體地址進行觀察，發現所有盤前2G的資料幾乎都為0。結合前面所有的分析結果，北亞資料恢復工程師

最 終判定了使用者的操作：RAID發生異常後，使用者將部分硬碟取出但未標記盤號，重新插回硬碟後開始初始化。當硬碟開始

寫操 作 後發現情況不對，馬上對伺服器進行了關機操作，重啟伺服器後發現RAID似乎又正常了。進入系統後發現邏輯卷

空了， 於是 又 對其進行了格式化。

8、重新分析RAID資訊，因分割槽太大無法重組，北亞資料恢復工程師只能手工修改部分資料並匯出，最終恢復出50%左右的

數 據。其餘資料因FILE RECORD丟失無法找到名稱與目錄，對醫院而言，即使恢復出這些無法找到名稱與目錄的資料也沒

有意 義。