【伺服器資料恢復】Hyper-V虛擬機器檔案丟失導致服務癱瘓的資料恢復案例

伺服器資料恢復環境：

Windows Server作業系統伺服器，部署Hyper-V虛擬化環境，虛擬機器的硬碟檔案和配置檔案存放在某品牌MD3200儲存中，MD3200儲存中有一組由4塊硬碟組成的raid5陣列，存放虛擬機器的資料檔案；另外還有一塊硬碟存放虛擬機器資料檔案的備份。

伺服器故障&檢測：

由於MD3200儲存中虛擬機器的資料檔案丟失，導致整個Hyper-V服務癱瘓，虛擬機器無法使用。

1、將M3200儲存中所有硬碟編號取出，對MD3200儲存中所有硬碟進行物理故障檢測，經過檢測發現所有硬碟均可以正常讀取，不存在明顯物理故障。

2、作業系統工作狀態正常，未發現有問題的程式，排除作業系統問題。

3、丟失資料硬碟的檔案系統可以正常開啟，防毒軟體檢測後沒有發現問題。經過檢測發現檔案系統的元檔案建立時間與資料丟失的時間相同，這意味著檔案系統被人為重寫了，即分割槽被格式化了。

4、資料丟失之前和資料丟失當天的系統日誌已被清空，稽核日誌和服務日誌卻還在。格式化分割槽的操作只會記錄在系統日誌中，符合人為破壞的特徵。

5、需要恢復的系統日誌被新的日誌記錄覆蓋，無法恢復。

6、只有兩個分割槽的檔案系統被重寫。格式化兩個分割槽需要兩個獨立的過程，這種針對性的操作只能是人為的。

伺服器資料恢復過程：

1、之前檢測沒有發現硬碟存在物理故障，直接將所有硬碟以只讀方式做全盤映象，映象完成後將所有磁碟按照編號還原到原儲存中，後續的資料分析和資料恢復操作都基於映象檔案進行，避免對原始磁碟資料造成二次破壞。

2、基於映象檔案分析底層資料，獲取RAID5陣列的盤序、條帶大小、條帶走向等資訊。根據這些資訊重組raid5陣列。

3、基於映象檔案分析底層資料，發現許多以前檔案系統的目錄項及檔案索引的殘留資料。經過核對發現這些檔案索引指向的資料都是用失的檔案內容。北亞企安資料恢復工程師編寫了一個提取檔案索引項的小程式掃描&提取所有檔案索引項。

4、分析提取出來的檔案索引項，發現其索引項都是不連續的，並且大多都是以16K或8K對齊的。正常情況下，檔案索引項是連續的，大小為固定的1K，每個檔案索引項對應一個檔案或目錄。不連續且不完整的檔案索引項無法正常索引到檔案的內容，北亞企安資料恢復工程師對掃描出來的不連續的檔案索引項進行加工處理。

5、處理好所有的檔案索引項後，根據檔案索引項編號將檔案索引項拼接成完整目錄項結構。由於部分檔案索引項被破壞，只能找到大部分檔案索引項，所幸這些找到的檔案索引項足以拼接成完整目錄結構。

6、將重建好的目錄結構替換現有檔案系統中的目錄結構，然後由北亞企安資料恢復工程師手動修改部分校驗值並解釋這個目錄結構，即可看到丟失的資料了。

將其中一個最新的VHD檔案恢復出來後複製到一臺支援附加VHD的伺服器上，嘗試附加此VHD，附加成功。檢查VHD中最新的資料的完整性，沒有發現問題。將所有資料恢復到一塊硬碟中。

7、在一臺測試伺服器上搭建Hyper-V的環境，將恢復出來的虛擬機器檔案連線到這臺測試伺服器上。透過匯入虛擬機器的方式將恢復出來的資料遷移到新的Hyper-V環境，讓使用者方來驗證虛擬機器&虛擬機器資料的完整性，經過驗證使用者方確認恢復出來的資料完整有效。

8、將所有恢復出來的資料複製至使用者方準備好的伺服器中，然後將虛擬機器匯入到使用者方準備好的的Hyper-V環境中，匯入後沒有報錯，嘗試啟動所有虛擬機器，所有虛擬機器啟動都沒問題。本次伺服器資料恢復工作完成。