伺服器資料恢復—VMware下誤重灌系統導致伺服器崩潰的資料恢復案例

伺服器故障&分析：

VMware虛擬化，vmfs檔案系統，共3塊磁碟。工作人員誤操作將VMware虛擬化重灌系統，伺服器崩潰。

正常情況下，重灌系統會導致檔案系統元檔案被覆蓋。要恢復資料須找到重灌系統前的檔案系統殘留資訊並提取出來，根據提取出來的元檔案資訊來拼接&恢復虛擬磁碟，然後提取&恢復伺服器資料。

伺服器資料恢復過程：

1、將故障伺服器中所有磁碟編號後取出，硬體工程師檢測後沒有發現有硬碟存在硬體故障，以只讀方式將所有磁碟做扇區級的映象。映象完成後將所有磁碟按照編號還原到原伺服器中。後續的資料分析和資料恢復操作都基於映象檔案進行，避免對原始磁碟資料造成二次破壞。

基於映象檔案分析底層資料，計算原始分割槽資訊。

透過底層資料分析伺服器上其他盤上的LVM資訊，計算出被重灌系統的PV原始分割槽起始位置及大小等資訊。

2、由於LVM資訊被破壞，北亞企安資料恢復工程師根據各個元檔案entry標誌把重灌系統前檔案系統內的所有殘留的元檔案資訊手動全部找到並提取出來，才能進行重組並解析檔案系統。

3、提取pbc中所有型別為3的子塊。

4、掃描&解析fdc元檔案中的有效節點，提取虛擬機器。

5、提取pbc元檔案中型別為1的指標塊，掃描指標並記錄位置，根據檔案系統的連續性拼接虛擬機器。

6、對拼接後的虛擬機器進行檔案系統驗證，確認無誤後掛載虛擬磁碟並重啟，即恢復虛擬機器。

7、使用者方對恢復出來的伺服器資料進行驗證後，確認恢復資料完整有效。本次資料恢復工作完成。