伺服器資料恢復—伺服器重灌系統導致出現空白超級塊的資料恢復案例

伺服器資料恢復環境：

某品牌linux作業系統伺服器，伺服器中有4塊SAS介面硬碟組建一組raid5陣列。伺服器中存放的資料有資料庫、辦公文件、程式碼檔案等。

伺服器故障&檢測：

伺服器在執行過程中突然癱瘓，管理員對伺服器進行了重灌作業系統的操作。系統安裝完成後發現資料丟失。

北亞企安資料恢復工程師對故障伺服器進行了檢測，經過檢測發現重灌系統操作導致邏輯捲髮生改變，檔案系統被破壞，出現空白超級塊。

伺服器資料恢復過程：

1、將故障伺服器中所有磁碟編號後取出，由硬體工程師檢測後沒有發現存在硬體故障。以只讀方式將所有磁碟進行扇區級的全盤映象，映象完成後將所有磁碟按照編號還原到原伺服器中。後續的資料分析和資料恢復操作都基於映象檔案進行，避免對原始磁碟資料造成二次破壞。

2、基於映象檔案分析伺服器底層資料，透過節點間的相互關聯關係分析出被破壞前的節點資訊並對節點進行修復。

3、調整檔案系統中的檔案，生成B+樹並匯出所有節點。排查匯出的節點並清除對恢復資料無用的節點，然後重新排序生成對應的位置資訊。

4、按照對應位置資訊查詢節點，生成樹的索引資訊，然後生成超級塊資訊。

5、在虛擬機器下建立快照，將修復後的資料掛載到新建立好的快照下，這時已經可以看到檔案內容。

6、在虛擬機器環境下修正檔案目錄位置、名稱等資訊。查詢檔案頭、檔案標誌位置並進行修復，直到恢復出所有資料。

7、由使用者方工程師對資料的完整性、正確性進行驗證。經過反覆驗證，使用者方確認恢復的資料完整有效。本次資料恢復工作完成。