【伺服器資料恢復】Linux系統下誤刪除虛擬機器的資料恢復案例

虛擬機器資料恢復環境：

故障伺服器作業系統為Linux系統；

檔案系統為EXT4檔案系統。

虛擬機器故障：

故障伺服器上的KVM虛擬機器被刪除，每臺虛擬機器包含一個qcow2格式的磁碟檔案，和一個raw格式的磁碟檔案。管理員聯絡

我們資料恢復中心進行資料恢復。

虛擬機器1：主資料庫伺服器

虛擬磁碟：系統盤（qcow2）+資料盤（raw）

檔案系統：EXT4

主要資料：MySQL資料庫

虛擬機器2：備份資料庫伺服器

虛擬磁碟：系統盤（qcow2）+資料盤（raw）

檔案系統：EXT4

主要資料：MySQL資料庫

虛擬機器3：程式碼伺服器

虛擬機器盤：系統盤（qcow2）+資料盤（raw）

檔案系統：EXT4

主要資料：程式程式碼

虛擬機器資料恢復過程：

1、分析EXT4檔案系統，定位被刪除虛擬機器磁碟檔案的節點位置；

2、獲取磁碟檔案殘留的索引資訊；

3、校驗殘留索引資訊的正確性，修復破壞不嚴重的索引；

圖為獲取的索引等資訊：

4、修復完成後，解析殘留的各級索引，從虛擬機器所在的卷中提取虛擬磁碟檔案；

5、根據虛擬磁碟檔案的提取情況，獲取卷中未被索引到的自由空間；

6、校驗提取出的磁碟檔案的正確性與完整性；

7、從自由空間中獲取有效資訊，北亞資料恢復工程師嘗試對虛擬磁碟檔案進行修補（如節點，目錄項，資料庫頁等資訊）。

圖為提取出的自由空間：

虛擬機器資料恢復結果：

1、由於索引丟失，提取出的虛擬磁碟檔案並不完整，針對資料庫伺服器，資料庫檔案有丟失的情況，可以從自由空間中獲

取資料庫頁去對資料庫檔案進行修補，但由於部分頁所在區域被覆蓋佔用，北亞資料恢復工程師只能儘量多的去補頁；

2、對於存放程式程式碼的伺服器中的節點和目錄項丟失的情況，若節點或目錄項有殘留，可以嘗試去補齊節點和目錄項。但

發現部分檔案的節點和目錄項同時丟失，根據節點和目錄項之間相關聯的特性，這種情況下無法補齊。另根據程式程式碼檔案

的特性，不具備一定的規律性，若其資料區丟失，無法補齊。

圖為恢復出的部分目錄結構：

資料驗證：

在儘可能的嘗試對虛擬磁碟檔案及其中的資料庫檔案修補之後，由客戶使用者對資料進行驗證。資料有部分丟失，無法恢復，

但重要資料都恢復出來了，資料恢復有效。