【虛擬機器資料恢復】意外斷電導致XenServer虛擬機器不可用的資料恢復

虛擬機器資料恢復環境：

Dell某型號伺服器用RAID卡+4塊STAT硬碟組成RAID10；

XenServer虛擬化系統，虛擬機器作業系統是Windows Server；

兩個虛擬機器磁碟（系統盤 + 資料盤）；

Web伺服器（ASP + SQL的網站架構）。

虛擬機器故障&分析：

伺服器突然斷電導致XenServer伺服器中一臺XenServer虛擬機器不可用，虛擬磁碟檔案丟失。伺服器管理員聯絡我們資料恢

復中心進行虛擬機器資料恢復。

伺服器資料恢復工程師首先將故障伺服器上的硬碟連線到資料恢復伺服器上對資料進行映象備份。

透過映象檔案分析底層資料發現故障伺服器中每個XenServer虛擬機器的虛擬磁碟都是一個LV，虛擬磁碟模式是精簡模式。

LVM的相關資訊在XenServer中都有記載，檢視LVM的相關資訊發現並沒有損壞的虛擬磁碟資訊，初步判斷LVM的資訊已經

被更新。再次對底層進行分析還是找到了未更新的LVM資訊。

如下圖：

根據未被更新的LVM資訊找到虛擬磁碟的資料區域，但是該區域的資料已被破壞。最終可以確定虛擬機器不可用的原因是

虛擬機器的虛擬磁碟被破壞，虛擬機器中的作業系統和資料丟失，而出現這種情況很可能是虛擬機器遭遇網路攻擊或hack入侵

後留下的惡意程式造成的。仔細核對這片區域後，伺服器資料恢復工程師發現雖然該區域很多資料被破壞了，但發現了

很多資料庫的頁碎片，可以嘗試將資料庫的頁碎片拼接成可用的資料庫。

虛擬機器資料恢復過程：

1、恢復方案一

根據RAR壓縮包的結構找到壓縮包的資料開始位置，RAR壓縮包檔案的第一個扇區中會記錄此RAR的檔名。伺服器資料

恢復工程師透過匹配備份資料庫的壓縮包檔名和目前找到的壓縮包位置的檔名，即可找到備份資料庫壓縮包的開始位置。

找到壓縮包的位置後分析這片區域的資料，將此區域的資料恢復出來並重新命名為一個RAR格式的壓縮檔案。嘗試解壓此壓縮

包，解壓報錯如下圖所示：

分析恢復出來的壓縮包，伺服器資料恢復工程師發現其中有部分資料損壞。使用RAR修復工具修復後解壓出部分資料，

結果解壓出來的資料只有網站的部分程式碼，並沒有發現資料庫的備份檔案。初步判斷RAR壓縮包中資料庫的備份檔案是

損壞的。下圖是解壓出來的部分網站程式碼：

2、恢復方案二

由於方案一併沒有將資料庫恢復出來，伺服器資料恢復工程師採用方案二恢復資料庫。

根據SQL Server資料庫的結構去底層分析資料庫的開始位置。在伺服器管理員獲取到資料庫名稱之後，資料恢復工程師分

析底層找到此資料庫的開始位置。SQL Server資料庫的每個頁都會記錄資料庫頁編號以及檔案號，北亞資料恢復工程師根

據SQL Server資料庫的這些特徵編寫程式去底層掃描符合資料庫頁的資料。

然後將掃描出來的碎片按順序重組成一個完整MDF檔案，再透過MDF校驗程式檢測這個MDF檔案是否完整。重組的MDF

檔案：

 

驗證資料：

MDF校驗程式檢測沒問題後搭建資料庫環境。將重組後的資料庫附加到搭建好的資料庫環境中並查詢相關表資料是否正常，

查詢最新資料是否存在。

由於資料庫需要結合網站程式碼才能更準確驗證資料庫的完整性。用網站程式碼搭建好環境，然後將恢復好的資料庫配置好進行

驗證。經使用者親自驗證後最終確認資料庫沒問題，本次資料恢復成功。