【伺服器資料恢復】NTFS檔案系統下雙迴圈riad5的資料恢復案例

伺服器資料恢復環境：

一臺使用NTFS檔案系統的伺服器；

7塊硬碟組成了一組raid5磁碟陣列。

伺服器故障&初檢：

raid5磁碟陣列磁碟故障離線導致伺服器癱瘓。使用者在處理掉線磁碟時只新增新的硬碟rebuild，並沒有將掉線的3塊硬碟從陣列

中拔掉。

硬體工程師對故障伺服器中所有硬碟進行了物理檢測，沒有發現硬碟物理故障，只好交由伺服器資料恢復工程師對所有硬碟做

全盤映象&分析。

伺服器資料恢復過程：

1、對所有硬碟映象備份後，伺服器資料恢復工程師分析伺服器raid結構。故障伺服器中的硬碟每512位元組多加了一個8位元組的

校驗，也就是說每扇區520位元組。北亞資料恢復工程師編寫了一個小程式將8位元組的校驗去掉，方便後續的資料恢復。

2、完成磁碟轉換後開始分析RAID的結構。由於多了3塊離線盤（故障離線後沒有拔出），需要比較每塊磁碟。因為其中會有

兩塊磁碟前面的一部分相同，這兩塊前面部分相同的磁碟中有一個是舊盤，舊盤資料量沒有新盤多，可以排除舊盤。

3、由於故障伺服器使用的是NTFS檔案系統，使用MFT就可以找到RAID結構。搞清楚RAID結構後發現這不是一個普通的

RAID5，而是一個雙迴圈，無法透過常規手段重組RAID。

4、透過其他方法重組RAID後發現資料不是新的。推測可能是RAID5掉線第一塊硬碟時使用者沒有及時發現，沒有及時新增新

的硬碟做rebuild，伺服器執行一段時間後又有一塊硬碟掉線了，造成整個RAID不可用。

5、伺服器資料恢復工程師使用窮舉+校驗的方法進行分析：假設某個磁碟掉線，踢掉該磁碟後重組RAID，不用生成全部的

資料，只生成前面幾個G的資料，然後透過檢視這個索引表的點陣圖資訊是否正確就可以判斷此RAID是否正確。如果索引表的

點陣圖資訊正確，生成此RAID資料即可完成RAID的重組。

6、資料恢復完成後由使用者親自核檢，資料完整可用，本次資料恢復完成。

Tips：

1、伺服器發生故障後，切忌對伺服器進行操作；也不要隨意取出硬碟，以免弄亂盤序。

2、如果需要取出硬碟，標記好硬碟的順序之後再取出。

3、伺服器陣列癱瘓後應該立即斷電，不要做同步或強制上線操作，防止資料進一步破壞。