虛擬化數據恢復環境&故障：
KVM是Kernel-based Virtual Machine的簡稱，是一個開源的系統虛擬化模塊，自Linux2.6.20版本之后集成在Linux的各個主要發行版本中。KVM使用Linux自身的調度器進行管理。
本案例中的服務器操作系統為Linux，文件系統為EXT4。操作系統上的部署的幾臺KVM虛擬機被刪除，每臺KVM虛擬機包含一個qcow2格式的磁盤文件和一個raw格式的磁盤文件，用戶需要恢復的數據是raw格式的磁盤文件。這幾臺被誤刪除的虛擬機存放的是數據庫，程序代碼等數據。

虛擬化數據恢復過程：
1、將故障服務器上所有磁盤以只讀方式進行扇區級全盤鏡像，鏡像完成后將所有磁盤按原樣還原到故障服務器中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
2、基于鏡像文件分析EXT4文件系統，定位被刪除虛擬機磁盤文件的節點位置。
3、獲取磁盤文件殘留的索引信息，校驗殘留索引信息的正確性，北亞企安數據恢復工程師對破壞不嚴重的索引進行修復。
獲取的索引信息：

北亞企安數據恢復——KVM虛擬機數據恢復

4、索引修復完成后，解析殘留的各級索引，從虛擬機所在的卷中提取虛擬磁盤文件。提取完成后對磁盤文件的正確性與完整性進行校驗。
5、根據虛擬磁盤文件的提取情況，提取卷中未被索引到的自由空間。
6、從自由空間中獲取有效信息，北亞企安數據恢復工程師嘗試修補虛擬磁盤文件（如節點，目錄項，數據庫頁等信息）。
提取出的自由空間：

北亞企安數據恢復——KVM虛擬機數據恢復

虛擬化數據恢復結果：
由于索引丟失，提取出的虛擬磁盤文件并不完整。
針對存放數據庫的虛擬機中數據庫文件丟失的情況，可以從自由空間中獲取數據庫頁去修補數據庫文件，但由于部分頁所在區域被覆蓋，只能盡量多的去補頁。
針對存放程序代碼的虛擬機中節點和目錄項丟失的情況，若節點或目錄項有殘留，可以嘗試去補齊節點和目錄項。部分文件的節點和目錄項同時丟失，根據節點和目錄項之間相關聯的特性，這種情況下無法補齊節點和目錄項。由于程序代碼文件不具備一定的規律性，若其數據區丟失，則無法補齊。
部分目錄結構：

北亞企安數據恢復——KVM虛擬機數據恢復

北亞企安數據恢復——KVM虛擬機數據恢復

數據驗證：
在盡最大努力對虛擬磁盤文件及其中的數據庫文件進行修補后，由用戶方對數據進行驗證。經過用戶方仔細驗證，發現有小部分數據丟失，重要數據都在，認可數據恢復結果。本次數據恢復工作完成。

審核編輯 黃宇