伺服器資料恢復—NTFS誤操作刪除/格式化的資料恢復案例

北亞資料恢復發表於2023-11-21

NTFS是windows作業系統伺服器應用最為廣泛的檔案系統之一。理論上,NTFS檔案系統格式化操作雖然不會對資料造成太大的影響,但是有可能會出現部分檔案目錄結構丟失的情況。下面介紹一臺伺服器誤操作導致raid5陣列上層的NTFS分割槽被格式化後如何逆向操作恢復伺服器資料的案例。


伺服器資料恢復過程:

1、將故障伺服器所有硬碟編號後取出,由硬體工程師檢測排除硬碟存在硬體故障的情況,以只讀方式將所有磁碟做扇區級的映象備份,備份完成後按照編號將所有磁碟還原到原伺服器中,後續的資料分析和資料恢復操作都基於映象檔案進行,避免對原始磁碟資料造成二次破壞。

2、基於映象檔案分析底層資料。透過檢視資料的0-2扇區搞清楚出這臺伺服器的分割槽大小是多少個扇區。按照RAID5的計算模式,使用該扇區數除以伺服器內實際硬碟數量(除去校驗盤)得到一個扇區數。直接跳轉到該扇區,在這個扇區的附近可以查詢到另一個GPT分割槽表,這樣就可以檢視分割槽的大小。例如一組6塊盤的raid5陣列,分割槽大小為1048309759扇區,用1048309759÷5=209661951扇區。工作介面(GPT分割槽表項底層表現,標記項前8個位元組為分割槽起始扇區,之後8個位元組為分割槽結束扇區,單位512位元組/扇區,64bit):

3、重組raid陣列。只要分析出raid5陣列成員盤的數量和raid走向就可以重組raid5陣列。由於恢復的是NTFS檔案系統下的資料,因此只需要找到分割槽的檔案記錄項,根據NTFS檔案系統中的MFT順序就可以檢視raid5的條帶大小和raid走向。

4、根據分析出來的RAID結構重組RAID。重組RAID後已經可以看見丟失的資料,但是出現部分檔案目錄結構丟失的情況,好在經過使用者方的檢測確認資料基本上都恢復出來了,後期只能透過人工處理丟失的部分檔案目錄結構問題。

檔案目錄丟失情況:

雖然理論上NTFS分割槽格式化對資料影響不是很大,一般格式化後資料保留的較為完整,恢復機率較大,但是可能會碰到部分檔案目錄結構可能丟失。北亞企安資料恢復工程師在這裡提醒:伺服器和儲存中的資料要及時備份,儘可能減少伺服器資料丟失帶來的損失。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31380569/viewspace-2996381/,如需轉載,請註明出處,否則將追究法律責任。

相關文章