EMC NAS中虛擬機器被誤刪除的資料恢復案例

伺服器資料恢復環境：

北京某公司的EMC NAS，總共有3個節點，每個節點配置12塊STAT硬碟。

NAS中存放有vmware虛擬機器（WEB 伺服器）和影片檔案。

虛擬機器透過NFS協議共享到ESX主機，影片檔案透過CIFS協議共享給虛擬機器（WEB伺服器）。

伺服器故障：

由於工作人員誤操作將包括MSSQL資料庫，大量MP4、ASF和TS格式的影片檔案刪除。NFS共享的所有資料（虛擬機器）

被刪除而CIFS共享的資料則沒有被刪除。

伺服器資料恢復過程：

1、對故障儲存中所有硬碟以只讀方式進行全盤映象。後續的資料分析和資料恢復操作都基於映象進行，避免對原始資料

造成二次破壞。

2、基於映象檔案分析所有硬碟中的資料。由於資料是被人為刪除的，需要分析檔案被刪除後，檔案的Indoe及資料MAP

是否發生變化。

3、由於被刪除的虛擬磁碟檔案大小都在64G或者以上，而且儲存中沒有其他型別的、檔案大小超過64G的大檔案。北亞

企安資料恢復工程師編寫Indoe掃描程式，將大小符合64G或以上的檔案的Indoe都掃描出來。

4、分析掃描出來的Indoe，找出資料MAP位置，其index指向的內容不是正常資料，並且所有節點上的Indoe均是同樣的

情況。

5、分析Inode，發現大檔案的資料MAP會有多層（樹結構）,並且資料MAP中會記錄檔案的ID，因此可以嘗試找到文

件底層的資料MAP。

6、對檔案底層的資料MAP做遍歷跟蹤操作後發現底層的資料MAP果然還在。

7、從檔案的Inode取出檔案的ID，聚合所有符合該ID的資料MAP。根據資料MAP中的VCN號排序，發現每個檔案的

前17088項資料MAP都不存在，這意味著每個檔案的前17088項資料沒法恢復。

8、經過換算發現丟失的資料MAP項總共包含不到1G的資料，而刪除的檔案全是虛擬機器的vmdk檔案,內部採用的NTFS檔案

系統，而NTFS檔案系統的MFT基本都在3G的位置，也就是隻需要在每個vmdk檔案的頭部手動偽造一個MBR和DBR就可以

解釋vmdk裡面的資料。

9、解釋掃描到的資料MAP，根據VCN號的順序匯出資料，沒有MAP的情況就保留為零。經過不斷的測試，嘗試匯出一個

vmdk檔案，發現匯出的vmdk檔案比實際情況要小，並且vmdk中MFT的位置也與自身描述不符。

10、隨機驗證幾個MAP發現都能指向資料區，程式解釋MAP的方式也都沒有發現問題。所以初步判斷出現這種情況的原因

可能是檔案稀疏。

11、調整程式碼後重新匯出剛才的vmdk檔案，這次vmdk檔案大小符合實際，且MFT的位置正確。手工偽造一個MBR、分割槽

表以及DBR，使用北亞企安自主開發的檔案系統解釋程式成功解釋其檔案系統，匯出該vmdk檔案裡的資料庫及影片檔案。

12、驗證此vmdk中的資料庫及影片檔案沒有問題後，批次匯出所有的vmdk檔案，再手工修改每個vmdk檔案。直至恢復出

所有使用者需要的資料。

伺服器資料驗證：

將所有重要資料恢復完成後，由使用者方安排工程師對恢復出來的資料做完整性及準確性驗證。經過反覆驗證測試，使用者方確

認資料完整有效。本次資料恢復工作完成。