【伺服器資料恢復】虛擬機器檔案丟失導致Hyper-V癱瘓的資料恢復

伺服器資料恢復環境：

Windows Server伺服器，部署Hyper-V虛擬機器環境；

虛擬機器的硬碟檔案和配置檔案存放在某託管中心的儲存裝置中；

儲存裝置中4塊硬碟組成陣列儲存虛擬機器的資料檔案，單塊4T硬碟儲存虛擬機器資料檔案備份。

伺服器故障分析&恢復方案：

由於儲存裝置中的虛擬機器資料檔案丟失，整個Hyper-V服務癱瘓，虛擬機器無法使用。管理員聯絡我們資料恢復中心尋求幫助，

北亞資料恢復工程師團隊對故障儲存伺服器進行檢測：

1、檢測故障儲存伺服器沒有發現物理故障，硬碟均可以正常工作。

2、檢查作業系統沒有發現出錯程式，排除因作業系統問題導致的資料丟失。

3、分析丟失資料的硬碟的檔案系統：開啟正常，排除入侵破壞的可能性。在分析硬碟的檔案系統過程中發現此檔案系統的元

檔案建立時間與資料丟失的時間相吻合。發現這種情況，資料恢復工程師初步判斷檔案系統被人為重寫，即分割槽被格式化。

4、檢查系統日誌發現資料丟失的當天和之前的系統日誌已被清空，稽核日誌和服務日誌卻並未清空，這種情況符合人為操作

的特徵。格式化分割槽的操作只記錄在系統日誌中，這也與人為破壞的特徵相符。

5、分析硬碟的底層資料，發現硬碟底層中需要恢復的系統日誌已被新的日誌記錄覆蓋，無法恢復。

6、對作業系統中的所有分割槽進行分析，發現故障儲存中只有兩個分割槽被重新寫入檔案系統。對兩個分割槽的格式化需要有兩個

獨立的過程，這種針對性的操作更加驗證本案例的故障是人為導致。

根據故障分析結論，北亞資料恢復工程師團隊敲定以下恢復方案：

1、對故障儲存中的所有硬碟做全盤備份。

2、分析每個硬碟的資料獲取到RAID相關資訊，重組RAID陣列。

3、對重組的陣列進行分析，看能否找到原有的檔案索引項及對應的資料區。

4、核對查詢到的檔案索引項是否符合使用者資料，並核對相應的資料區有無破壞。

5、將掃描到的檔案索引項碎片拼接成一個完整的目錄結構。

6、根據拼接好的目錄項去底層恢復對應的資料，並檢查資料是否正確。

7、核對資料沒問題後恢復所有資料。

伺服器資料恢復過程：

1、備份使用者資料。

由於資料全部都放在託管中心的儲存裝置中，因此只需要恢復儲存裝置中的資料即可。將故障儲存中所有的硬碟編號後從存

儲裝置中取出交給硬體工程師檢測硬碟物理故障。檢測完成後對每塊硬碟做全盤映象，使用工具將硬碟中所有扇區映象到備

份硬碟中。

2、重組RAID磁碟陣列。

分析每塊硬碟資料獲取RAID相關資訊（條帶大小，條帶走向等），根據這些資訊重組RAID。

3、掃描舊的檔案索引項。

分析硬碟底層資料，伺服器資料恢復工程師發現硬碟底層中殘留著許多以前檔案系統的目錄項及檔案索引。經過核對發現這

些檔案索引指向的資料都是使用者丟失的檔案內容。北亞資料恢復工程師編寫了一個提取檔案索引項的小程式掃描並提取硬碟

中所有存在的檔案索引項。

4、分析掃描到檔案索引項。

對掃描到的檔案索引項進行分析，北亞資料恢復工程師發現索引項都是不連續的，並且大多是以16K或8K對齊的。正常情況

下的檔案索引項是連續的，大小為固定的1K，每個檔案索引項對應一個檔案或目錄。而掃描出來的這些不連續且不完整的文

件索引項是無法正常索引到檔案的內容。北亞資料恢復工程師對掃描出來的檔案索引項做加工處理，對於被破壞的缺失檔案

索引項片段，我們可以從資料備份盤中去查詢。

5、將檔案索引項組成完整的目錄結構。

根據檔案索引項的編號將找到的檔案索引項拼接成目錄項結構。由於有部分檔案索引項被破壞，因此只能找到大部分檔案索

引項，但透過這些找到的檔案索引項已經可以拼接出整個目錄結構。

6、修復檔案系統。

用重建好的目錄結構替換現有檔案系統中的目錄結構，使用工具修改部分校驗值，然後再使用工具解釋這個目錄結構即可看

到丟失的資料。

為了確定資料是否正確，將其中一個最新的VHD檔案恢復出來並複製到一臺支援附加VHD的伺服器上嘗試附加此VHD，附加

成功，檢查VHD中最新的資料是否完整後將所有資料恢復到一塊硬碟中。

驗證資料：

在一臺測試伺服器上搭建Hyper-V的環境，將恢復出來的虛擬機器檔案連線到這臺伺服器上。透過匯入虛擬機器的方式將恢復出

來的資料都遷移到新的Hyper-V環境，讓使用者來驗證所有虛擬機器是否完整。

遷移資料：

在使用者驗證所有虛擬機器沒問題後，將所有資料複製至使用者伺服器中。利用匯入的方式將虛擬機器匯入到使用者的Hyper-V環境中

，匯入後沒有報錯，嘗試啟動所有虛擬機器成功，沒有發現問題。資料恢復完成。