服務器虛擬化數據恢復環境：

Dell某型號服務器;

數塊STAT硬盤通過raid卡組建的RAID10;

Xen Server服務器虛擬化系統;

故障虛擬機操作系統：Windows Server，部署Web服務，存儲網站文件和數據庫。

服務器虛擬化故障：

未知原因導致Xen Server服務器中一臺VPS(即Xen Server虛擬機)不可用，虛擬磁盤數據丟失。

服務器虛擬化數據恢復過程：

1、將故障服務器所有磁盤做好標記取出連接到北亞數據恢復平臺，以底層扇區的方式做鏡像備份，后續的所有數據恢復操作都在鏡像備份文件上進行，避免對原始數據進行二次破壞。

2、基于鏡像文件分析底層數據，北亞數據恢復工程師發現Xen Server服務器中虛擬機磁盤是以LVM結構存放，每個虛擬機的虛擬磁盤都是一個LV，都是采用的精簡模式。

LVM的相關信息在Xen Server中都有記錄。查看“/etc/lvm/backup/ “目錄下的LVM相關信息并沒有發現損壞的虛擬磁盤信息，數據恢復工程師推斷LVM信息已經被更新。數據恢復工程師只好對底層進行分析查找未被更新的LVM信息，通過底層分析果然發現還未更新的LVM信息。如下圖：

北亞數據恢復——Xen Server數據恢復

3、根據未被更新的LVM信息找到了虛擬磁盤的數據區域，但是該區域的數據已被破壞。經過仔細分析最終得出的結論是：虛擬機的虛擬磁盤被破壞造成虛擬機中的操作系統和數據丟失，導致虛擬機不可用。這類故障很有可能是由于虛擬機遭遇網絡攻擊或hack入侵后留下惡意程序造成的。數據恢復工程師仔細檢測這片區域后發現雖然該區域很多數據被破壞，但留存有很多數據庫的頁碎片，可以嘗試將這些數據庫的頁碎片拼接成一個可用的數據庫。

4、經過北亞數據恢復工程師會診，最終形成2個恢復方案：

方案一、恢復數據庫備份。數據庫做過一次備份，數據庫備份文件和網站代碼被一起壓縮到一個RAR壓縮包文件中。因此只需要恢復出這個壓縮包文件即可恢復數據庫和網站的源代碼。

方案二：拼數據庫碎片。根據數據庫結構在底層將找到的數據庫的頁碎片按照原來的順序拼接起來，然后對數據庫進行修復和校檢即可恢復數據庫。

5、實施方案。

數據恢復工程師在底層根據RAR壓縮包結構找到很多壓縮包的數據開始位置，RAR壓縮包文件的第一個扇區會記錄RAR的文件名。通過匹配從用戶那里獲知的壓縮包文件名和目前找到的壓縮包文件名即可找到備份數據庫壓縮包的開始位置。找到壓縮包的開始位置后將此區域的數據恢復出來重命名為一個RAR格式的壓縮文件。然后嘗試解壓此壓縮包，結果解壓報錯。報錯如下圖所示：

北亞數據恢復——Xen Server數據恢復

仔細分析恢復出來的壓縮包，數據恢復工程師發現有部分數據被破壞。嘗試使用RAR修復工具進行修復后解壓，結果解壓出來的數據只包含網站的部分代碼，并沒有在其中找到數據庫的備份文件。由此可以判斷數據庫備份文件在RAR壓縮包中是損壞的。

如下是解壓出來的部分網站代碼：

北亞數據恢復——Xen Server數據恢復

根據SQL Server數據庫的結構在底層分析數據庫的開始位置，故障數據庫第9個頁會記錄本數據庫的數據庫名。通過在用戶獲取到的數據庫名稱在底層找到此數據庫的開始位置。因為故障數據庫的每個頁中都會記錄數據庫頁編號和文件號，根據這個特征北亞數據恢復工程師編寫程序在底層掃描符合數據庫頁的數據，

然后將掃描出來的碎片按順序重組成一個完整MDF文件，再通過MDF校驗程序檢測MDF文件是否完整。重建的MDF文件如下：

北亞數據恢復——Xen Server數據恢復

6、搭建環境驗證數據。

檢測MDF文件沒有發現問題，由北亞數據庫工程師搭建數據庫環境，將重組的MDF文件附加到搭建好的數據庫環境中。查詢相關表的數據是否正常，最新數據是否存在。

北亞數據恢復——Xen Server數據恢復

驗證數據：

數據庫需要結合網站代碼才能更好地驗證數據庫。由于網站源代碼大部分已經破壞，備份的源代碼也只有部分可以用。用戶從網站開發服務商拿到網站代碼重新搭建環境，然后將恢復出來的數據庫在環境中配置好進行驗證。經用戶反復驗證后確認數據庫沒有問題。

審核編輯：湯梓紅