【伺服器資料恢復】Hyper-V服務癱瘓的資料恢復案例

伺服器資料恢復環境：

WinServer作業系統伺服器，部署Hyper-V虛擬機器環境；

虛擬機器的硬碟檔案和配置檔案儲存在一臺儲存裝置中；

該儲存裝置配置：一組4盤raid5陣列存放虛擬機器資料+單塊盤存放虛擬機器資料備份。

伺服器故障：

由於MD3200儲存中虛擬機器的資料檔案丟失，導致整個Hyper-V服務癱瘓，虛擬機器無法使用。

伺服器故障檢測：

1、檢測物理故障，結果沒有發現物理故障問題，所有硬碟均正常。

2、檢測作業系統：作業系統正常執行，未發現錯誤程式。

3、檢測丟失資料硬碟的檔案系統：開啟正常，檢測無病毒，排除病毒破壞。繼續分析丟失資料硬碟的檔案系統，發現檔案

系統的元檔案建立時間（即檔案系統的建立時間）與資料丟失的時間相同。這種情況意味著檔案系統被人為重寫，即分割槽被

格式化了。

4、檢查系統日誌：系統日誌資料丟失之前及當天的系統日誌已被清空，但是稽核日誌和服務日誌還在，恰巧格式化分割槽的

操作只記錄在系統日誌中。這種情況再次印證這次資料災難是人為導致的。

5、嘗試恢復系統日誌，從底層資料檢視發現需要恢復的系統日誌已被新的日誌記錄覆蓋，無法恢復。

6、分析所有分割槽，發現只有兩個分割槽的檔案系統被重新寫入新的檔案系統。因為兩個分割槽的格式化需要有兩個獨立的過程

，這種針對性的操作再次證明本次資料災難由人為操作導致。

伺服器資料恢復過程：

1、將故障儲存裝置中所有的硬碟編號取出，以只讀方式對所有硬碟做全盤映象，後續的資料分析和資料恢復操作都基於鏡

像檔案進行，避免對原始資料造成二次破壞。

備份所有硬碟資料：

2、映象完成後，基於映象檔案分析RAID5磁碟陣列相關資訊如條帶大小、條帶走向等。根據這些資訊重組raid5磁碟陣列。

重組RAID5磁碟陣列：

開啟RAID5磁碟陣列：

3、分析硬碟底層資料發現還殘留著許多以前檔案系統的目錄項及檔案索引。經過核對發現這些檔案索引指向的資料都是用

戶丟失的檔案內容。北亞企安資料恢復工程師編寫提取檔案索引項的小程式掃描並提取所有檔案的檔案索引項。

4、分析提取出來的檔案索引項，發現這些索引項都是不連續的，大多數都是以16K或8K對齊的。正常情況下檔案索引項是

連續的，大小為固定的1K，每個檔案索引項對應一個檔案或目錄。而掃描出來的這些不連續並且不完整的檔案索引項是無

法正常索引到檔案內容的，因此需要處理這些掃描出來的檔案索引項。

在掃描出來的檔案索引項中搜尋” .VHD”，能找到一個” .VHD”的檔案記錄，然後將這個片連續的檔案索引項提取出來。

接著再檢視這段提取出來的檔案索引項中是否有指向下一段檔案索引項的記錄或者H20屬性。如果有則根據檔案索引項中的

特徵去匹配下一段檔案索引項，如果沒有則跳過這段檔案索引項。

根據以上方法能找到了大多數的檔案索引項片段，而缺失的檔案索引項片段有可能被破壞了，可以從資料備份盤中去查詢缺

失的檔案索引項片段，最終可以找到大部分的檔案索引項。

檔案索引項截圖：

5、找到所有能找到的檔案索引項之後，根據檔案索引項的編號將其拼接成整個目錄項結構。以下是搜尋到的部分檔案索引

項，雖然小部分檔案索引項被破壞，但這些找到的檔案索引項已經足夠拼接整個目錄結構。

掃描到的檔案索引項碎片：

6、將重建好的目錄結構替換現有檔案系統中的目錄結構並修改部分校驗值，然後解釋這個目錄結構就可以看到丟失的數

據了。

解釋出來的目錄結構：

為了驗證資料是否正確，將其中一個最新的VHD檔案複製到一臺支援附加VHD的伺服器上，嘗試附加此VHD，結果附加

成功。檢查VHD中最新的資料的完整度，沒有發現問題後將所有資料恢復到一塊硬碟中。

恢復出來的所有虛擬機器資料檔案：

7、在一臺測試伺服器上搭建Hyper-V環境，將恢復出來的虛擬機器檔案連線到這臺伺服器上，透過匯入虛擬機器的方式將恢復

出來的資料都遷移到新的Hyper-V環境，然後讓使用者親自驗證所有虛擬機器。

虛擬機器匯入的過程：

8、使用者驗證所有虛擬機器沒有問題後，將所有資料複製至使用者準備好的伺服器中。用匯入的方式將虛擬機器匯入到使用者準備好

的Hyper-V環境中。匯入過程中和匯入後都沒有報錯，嘗試啟動所有虛擬機器都沒有發現問題。本次資料恢復工作完成。