服務器數據恢復環境：

WinServer操作系統服務器，部署Hyper-V虛擬機環境;

虛擬機的硬盤文件和配置文件存儲在一臺存儲設備中;

該存儲設備配置：一組4盤raid5陣列存放虛擬機數據+單塊盤存放虛擬機數據備份。

服務器故障：

由于MD3200存儲中虛擬機的數據文件丟失，導致整個Hyper-V服務癱瘓，虛擬機無法使用。

服務器故障檢測：

1、檢測物理故障，結果沒有發現物理故障問題，所有硬盤均正常。

2、檢測操作系統：操作系統正常運行，未發現錯誤進程。

3、檢測丟失數據硬盤的文件系統：打開正常，檢測無病毒，排除病毒破壞。繼續分析丟失數據硬盤的文件系統，發現文件系統的元文件創建時間(即文件系統的創建時間)與數據丟失的時間相同。這種情況意味著文件系統被人為重寫，即分區被格式化了。

4、檢查系統日志：系統日志數據丟失之前及當天的系統日志已被清空，但是審核日志和服務日志還在，恰巧格式化分區的操作只記錄在系統日志中。這種情況再次印證這次數據災難是人為導致的。

5、嘗試恢復系統日志，從底層數據查看發現需要恢復的系統日志已被新的日志記錄覆蓋，無法恢復。

6、分析所有分區，發現只有兩個分區的文件系統被重新寫入新的文件系統。因為兩個分區的格式化需要有兩個獨立的過程，這種針對性的操作再次證明本次數據災難由人為操作導致。

服務器數據恢復過程：

1、將故障存儲設備中所有的硬盤編號取出，以只讀方式對所有硬盤做全盤鏡像，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始數據造成二次破壞。

備份所有硬盤數據：

北亞企安數據恢復——Hyper-V數據恢復

2、鏡像完成后，基于鏡像文件分析RAID5磁盤陣列相關信息如條帶大小、條帶走向等。根據這些信息重組raid5磁盤陣列。

重組RAID5磁盤陣列：

北亞企安數據恢復——Hyper-V數據恢復

打開RAID5磁盤陣列：

北亞企安數據恢復——Hyper-V數據恢復

3、分析硬盤底層數據發現還殘留著許多以前文件系統的目錄項及文件索引。經過核對發現這些文件索引指向的數據都是用戶丟失的文件內容。北亞企安數據恢復工程師編寫提取文件索引項的小程序掃描并提取所有文件的文件索引項。

4、分析提取出來的文件索引項，發現這些索引項都是不連續的，大多數都是以16K或8K對齊的。正常情況下文件索引項是連續的，大小為固定的1K，每個文件索引項對應一個文件或目錄。而掃描出來的這些不連續并且不完整的文件索引項是無法正常索引到文件內容的，因此需要處理這些掃描出來的文件索引項。

在掃描出來的文件索引項中搜索” .VHD”，能找到一個” .VHD”的文件記錄，然后將這個片連續的文件索引項提取出來。

接著再查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者H20屬性。如果有則根據文件索引項中的特征去匹配下一段文件索引項，如果沒有則跳過這段文件索引項。

根據以上方法能找到了大多數的文件索引項片段，而缺失的文件索引項片段有可能被破壞了，可以從數據備份盤中去查找缺失的文件索引項片段，最終可以找到大部分的文件索引項。

文件索引項截圖：

北亞企安數據恢復——Hyper-V數據恢復

5、找到所有能找到的文件索引項之后，根據文件索引項的編號將其拼接成整個目錄項結構。以下是搜索到的部分文件索引項，雖然小部分文件索引項被破壞，但這些找到的文件索引項已經足夠拼接整個目錄結構。

掃描到的文件索引項碎片：

北亞企安數據恢復——Hyper-V數據恢復

6、將重建好的目錄結構替換現有文件系統中的目錄結構并修改部分校驗值，然后解釋這個目錄結構就可以看到丟失的數據了。

解釋出來的目錄結構：

北亞企安數據恢復——Hyper-V數據恢復

北亞企安數據恢復——Hyper-V數據恢復

為了驗證數據是否正確，將其中一個最新的VHD文件拷貝到一臺支持附加VHD的服務器上，嘗試附加此VHD，結果附加成功。檢查VHD中最新的數據的完整度，沒有發現問題后將所有數據恢復到一塊硬盤中。

恢復出來的所有虛擬機數據文件：

北亞企安數據恢復——Hyper-V數據恢復

7、在一臺測試服務器上搭建Hyper-V環境，將恢復出來的虛擬機文件連接到這臺服務器上，通過導入虛擬機的方式將恢復出來的數據都遷移到新的Hyper-V環境，然后讓用戶親自驗證所有虛擬機。

虛擬機導入的過程：

北亞企安數據恢復——Hyper-V數據恢復

8、用戶驗證所有虛擬機沒有問題后，將所有數據拷貝至用戶準備好的服務器中。用導入的方式將虛擬機導入到用戶準備好的Hyper-V環境中。導入過程中和導入后都沒有報錯，嘗試啟動所有虛擬機都沒有發現問題。本次數據恢復工作完成。

北亞企安數據恢復——Hyper-V數據恢復

北亞企安數據恢復——Hyper-V數據恢復

審核編輯：湯梓紅