【伺服器資料恢復】ESXi虛擬機器資料恢復案例

伺服器資料恢復環境：

某公司一臺伺服器，使用FreeNAS做iSCSI，藉助另外兩臺伺服器做虛擬化系統。此虛擬化系統安裝有5臺虛擬機器，其中3臺

虛擬機器比較重要：一臺虛擬機器部署了ASP.net、PHP，安裝了SqlServer和mysql資料庫；另一臺安裝的FreeBSD系統並部署

了MySQL資料庫；一臺虛擬機器儲存的是程式碼和資料。

FreeNAS層採用的是UFS2檔案系統；伺服器建一個檔案然後掛載到ESXi系統。

伺服器故障：

伺服器意外斷電後重啟，虛擬化系統無法連線伺服器，UFS2檔案系統出現問題，管理員試圖修復檔案系統，但是完成修復

後ESXi系統無法識別原有的資料和檔案系統。

伺服器資料恢復過程：

1、分析本案例的應用構架層次：FreeNAS(UFS2檔案系統–> 一個大的稀疏模式的檔案) –> ESXi(VMFS檔案系統層) -> 單

臺虛擬機器的虛擬磁碟 (windows-NTFS檔案系統/FreeBSD-UFS2檔案系統)。

2、對FreeNAS做完整映象，基於映象檔案分析整個儲存，在儲存中只發現一個檔名為iscsidatade的大檔案。

3、根據UFS2檔案系統的二進位制結構定位到iscsidata檔案的Inode資料，發現iscsidata檔案被重建過，inode指標指向的數

據量很少。

Tips：如果FreeNAS層問題無法解決，就無法進入到下一步的VMFS層分析。

UFS2檔案系統相關資訊：

塊大小：16KB

Segment大小：2KB

柱面組大小：188176 KB

UFS2檔案系統的一個資料指標佔用8位元組，一個塊可儲存2048個資料指標，一個二級指標塊則可儲存2048*2048*16KB=

 64GB的資料。一個三級指標塊則可儲存64GB*2048=128TB的資料。如果能找到iscsidata檔案的三級指標塊就能解決

FreeNAS層問題。但iscsidata檔案被重建過，估計有部分指標塊已被覆蓋。

原iscsidata檔案的inode和新建的iscsidata檔案的inode就在同一個位置，嘗試搜尋沒有發現其它有用的inode。北亞企安

資料恢復工程師只能編寫程式來收集有用的指標塊：

4、由於該iscsidata檔案採用的是稀疏模式，放寬收集條件後收集到了大量的三級指標塊和二級指標塊。經過分析後發現這

些收集到的三級指標塊都是沒有作用 的，沒有發現iscsidata檔案使用的三級指標塊，估計在新建iscsidata檔案時被覆蓋（新的

iscsidata檔案掛載到ESXi後有個VMFS格式化過程，而 該ESXi版本使用的是GPT分割槽，GPT分割槽會在磁碟最後寫入冗餘的

GPT頭和分割槽表資訊資料，會使用iscsidata檔案的三級指標塊）。

5、分析收集到的二級指標塊，對有大量二級指標塊的指向資料進行DUMP，再從磁碟中的資料定位到二級指標，透過這種

方式得到大量DUMP的資料。

6、VMFS被重新格式化過，原UFS2檔案系統的指標已丟失，所以VMFS元檔案不可用。只能透過單臺虛擬機器層(windows

(NTFS)和FreeBSD(UFS2)系統的檔案系統結構)向上定位到VMFS層，再透過VMFS層定位到DUMP出的單個64GB檔案。

透過多次組合，最終將三臺重要虛擬機器的虛擬磁碟完全恢復。將恢復出的網頁資料和資料庫資料上傳到準備好的環境中，

起應用後沒有發現問題。