服務器存儲數據恢復環境：
EMC CX4-480存儲，該存儲中有10塊硬盤，其中有3塊磁盤為掉線磁盤，另外7塊磁盤組成一組RAID5磁盤陣列。運維人員在處理掉線磁盤時只添加新的硬盤做rebuild，并沒有將掉線的硬盤拔掉，所以存儲中有3塊掉線的磁盤。

服務器存儲故障：
硬盤出現故障離線導致存儲中raid5陣列癱瘓。運維人員聯系我們數據恢復中心尋求幫助。

服務器數據恢復過程：
1、經過和運維人員溝通，服務器數據恢復工程師初步推測陣列癱瘓的原因是硬盤出現硬件故障。將故障存儲中所有磁盤編號后取出，由硬件工程師對所有磁盤進行物理故障檢測。經過逐一排查并沒有發現有硬盤存在物理故障。于是數據恢復工程師將所有硬盤以只讀方式做全盤鏡像，鏡像完成后按照編號將所有磁盤還原到原存儲中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
2、基于鏡像文件分析raid結構。經過分析發現該服務器存儲中的硬盤每512字節多加了一個8字節的校驗，也就是每扇區520字節。這種情況下分析raid結構十分不方便，于是北亞企安數據恢復工程師編寫了一個小程序將8字節的校驗去掉以方便后面的工作。
3、將所有磁盤轉換完成后，數據恢復工程師重新開始分析RAID結構。由于存儲中有3塊掉線的舊盤，需將這3塊盤分別與其他盤進行比較。經過比較，會發現這3塊磁盤中每一塊盤都會和另外7塊盤中的一塊盤前面的一部分相同，而這兩塊盤中會有一個是舊的（舊的數據量沒有新盤多），這樣的磁盤會有3對。通過這種方式排除舊的磁盤。
4、由于上層采用的NTFS文件系統，使用MFT就可以很容易找到RAID結構。找到raid結構后發現這不是一個普通的RAID5陣列，而是一個雙循環。重組RAID后發現數據不是最新的。服務器數據恢復工程師推測RAID5陣列中一塊硬盤掉線時，運維人員沒有及時發現，沒有及時添加新的硬盤做rebuild。一段時間后又有一
塊硬盤掉線了，于是整個RAID不可用。所以還需要找出一塊舊的磁盤才能生成最新的數據。
5、北亞企安數據恢復工程師采用窮舉+校驗的方法進行分析：假設某個磁盤是掉線的，踢掉該磁盤后重組RAID，生成前面5GB的數據，然后只需要查看這個索引表的位圖的信息是否正確就可以判斷此RAID是否正確。如果正確那么生成此RAID的數據即可完成RAID的重組。
6、經過多次嘗試，最終找到正確的RAID并完成RAID的重組。經過用戶仔細驗證，確認數據有效，認可本次數據恢復結果。

審核編輯 黃宇