伺服器資料恢復—NTFS誤操作刪除/格式化的資料恢復案例

NTFS是windows作業系統伺服器應用最為廣泛的檔案系統之一。理論上，NTFS檔案系統格式化操作雖然不會對資料造成太大的影響，但是有可能會出現部分檔案目錄結構丟失的情況。下面介紹一臺伺服器誤操作導致raid5陣列上層的NTFS分割槽被格式化後如何逆向操作恢復伺服器資料的案例。

伺服器資料恢復過程：

1、將故障伺服器所有硬碟編號後取出，由硬體工程師檢測排除硬碟存在硬體故障的情況，以只讀方式將所有磁碟做扇區級的映象備份，備份完成後按照編號將所有磁碟還原到原伺服器中，後續的資料分析和資料恢復操作都基於映象檔案進行，避免對原始磁碟資料造成二次破壞。

2、基於映象檔案分析底層資料。透過檢視資料的0-2扇區搞清楚出這臺伺服器的分割槽大小是多少個扇區。按照RAID5的計算模式，使用該扇區數除以伺服器內實際硬碟數量（除去校驗盤）得到一個扇區數。直接跳轉到該扇區，在這個扇區的附近可以查詢到另一個GPT分割槽表，這樣就可以檢視分割槽的大小。例如一組6塊盤的raid5陣列，分割槽大小為1048309759扇區，用1048309759÷5=209661951扇區。工作介面(GPT分割槽表項底層表現，標記項前8個位元組為分割槽起始扇區，之後8個位元組為分割槽結束扇區，單位512位元組/扇區，64bit)：

3、重組raid陣列。只要分析出raid5陣列成員盤的數量和raid走向就可以重組raid5陣列。由於恢復的是NTFS檔案系統下的資料，因此只需要找到分割槽的檔案記錄項，根據NTFS檔案系統中的MFT順序就可以檢視raid5的條帶大小和raid走向。

4、根據分析出來的RAID結構重組RAID。重組RAID後已經可以看見丟失的資料，但是出現部分檔案目錄結構丟失的情況，好在經過使用者方的檢測確認資料基本上都恢復出來了，後期只能透過人工處理丟失的部分檔案目錄結構問題。

檔案目錄丟失情況：

雖然理論上NTFS分割槽格式化對資料影響不是很大，一般格式化後資料保留的較為完整，恢復機率較大，但是可能會碰到部分檔案目錄結構可能丟失。北亞企安資料恢復工程師在這裡提醒：伺服器和儲存中的資料要及時備份，儘可能減少伺服器資料丟失帶來的損失。