【伺服器資料恢復】VMware esxi虛擬機器資料恢復案例

伺服器資料恢復環境：

Dell儲存伺服器，採用esxi虛擬化系統，esxi虛擬化系統裡有3臺虛擬機器；上層iSCSI使用FreeNAS構建，透過iSCSI方式實

現FCSAN功能；FreeNAS層採用UFS2檔案系統。

esxi虛擬化系統裡有3臺虛擬機器中的一臺虛擬機器採用FreeBSD系統，儲存資料庫檔案；另外兩臺虛擬機器分別儲存網站資料和

資料庫+工作程式程式碼。

伺服器故障：

機房供電不穩導致該儲存伺服器非正常關機，管理員重啟伺服器後發現ESXI系統無法連線儲存。透過伺服器故障排查，發

現FreeNAS的UFS2檔案系統出現故障，管理員對UFS2檔案系統進行fsck修復並將ESXI系統連線到伺服器儲存上。

管理員對上層檔案系統及資料進行檢查，發現檔案系統和儲存資料都無法識別，於是對vmfs執行了格式化操作，資料丟失

。需要恢復3臺虛擬機器以及內部的資料。

伺服器資料恢復過程：

1、首先對FreeNAS層以只讀方式進行映象備份，後續的資料恢復工作都基於映象檔案進行操作，避免對原始資料造成二

次破壞。

2、基於映象檔案分析底層資料。經過分析伺服器資料恢復工程師注意到一個幾百G大小的，被命名為iscsidata的大檔案。

3、繼續分析UFS2檔案系統結構，根據UFS2檔案系統的儲存結構定位到這個名為iscsidata的大檔案的iNode資料並進一步

進行檢視，發現名為iscsidata的大檔案被重建過，iNode指標所指向的資料量非常少。在這種情況下，想要進入到vmfs文

件系統層進行資料分析和恢復必須先分析出FreeNAS層的相關資訊。

4、透過分析得到如下FreeNAS層資訊：UFS2檔案系統塊大小為16kb，segment大小為2kb，柱面組大小為188176kb，

資料指標大小為8位元組，每個塊可容納資料指標數量為2048個。

根據上面分析到的資訊可以計算出：一個二級指標塊可儲存的資料量=2048*2048*16KB=64GB。三級指標塊可儲存的數

據量=64GB*2048=128TB。

5、伺服器資料恢復工程師計劃透過iscsidata檔案的三級指標塊來恢復FreeNAS層的資料，但由於該檔案曾經被重建，部

分指標被重建的資料覆蓋，原檔案的iNode和重建後的iNode所處位置完全一致，也沒有找到其他可用於恢復資料的iNode

資料。

6、根據實際情況，北亞企安資料恢復工程師編寫小程收集到了大量二級指標塊和三級指標塊。

7、分析三級指標塊但發現這些指標塊都無效，估計是重建時被覆蓋了，新的iscsidata檔案掛載到ESXi虛擬化系統後有個

VMFS格式化過程，而該版本的ESXi虛擬化系統使用的是GPT分割槽，GPT分割槽會在磁碟最後寫入冗餘的GPT頭和分割槽表信

息資料，會使用iscsidata檔案的三級指標塊。

8、分析二級指標塊，對有大量二級指標塊的指向資料進行DUMP，然後再從磁碟中的資料定位到二級指標，這樣得到大

量DUMP的資料。

9、北亞企安資料恢復工程師根據以前研究出的NTFS和UFS2檔案系統結構定位到vmfs層，繼而定位到DUMP出的單個

64GB檔案，最後進行資料組合。

10、經過複雜的查詢和重組，最終成功恢復出了故障伺服器儲存內的3臺虛擬機器及虛擬機器內的全部資料。

伺服器資料驗證：

將恢復出來的資料上傳到新搭建的系統中進行驗證，經使用者管理員反覆驗證，確認所有恢復出來的資料完整可用，認可數

據恢復結果。