【服務器數(shù)據恢復】異常RAID5重新上線初始化失敗后邏輯卷又被格式化的數(shù)據恢復案例

服務器數(shù)據恢復環(huán)境：
某醫(yī)院存儲服務器，存儲了十幾年的CT照片等文件的備份；
8塊硬盤中的7塊硬盤作為數(shù)據盤組建RAID5，1塊作為熱備盤。

北亞數(shù)據恢復——RAID5數(shù)據恢復

服務器故障：
醫(yī)院方發(fā)現(xiàn)存儲服務器中的數(shù)據不正常，找過多家數(shù)據恢復服務商對故障服務器做過恢復操作，具體操作不詳。

服務器數(shù)據恢復過程：
1、我們數(shù)據恢復中心接手這個case后，首先對故障服務器中所有硬盤做鏡像備份。
2、基于鏡像文件做檢測分析，所有盤均通過異或測試，獲取到7塊數(shù)據盤的盤序、塊大小、校驗方式及熱備盤。
3、經過檢測發(fā)現(xiàn)7塊數(shù)據盤組建的近2TB的數(shù)據只有一個區(qū)，而且這個分區(qū)剛剛被格式化過。據此可以推斷：要么故障服務器中的RAID5被強制上線后格式化；要么就是原始RAID5沒有損壞，只是被格式化過。
4、文件系統(tǒng)被格式化為NTFS，邏輯卷前幾個G的空間內一定存在大量用戶FILE RECORD，如果可以找到這些文件，應該就可以恢復文件。
5、嘗試在邏輯卷前幾個G的空間內尋找用戶FILE RECORD，結果一無所獲。出現(xiàn)這種情況有兩種可能：一是被重新初始化后再格式化；二是$MFT不在分區(qū)前面或者數(shù)據分區(qū)位置很靠后。
6、試圖在其中一塊盤中查找所有可知的FILE RECORD，在50%左右的空間區(qū)域內發(fā)現(xiàn)大量的FILE RECORD。經過分析后竟然發(fā)現(xiàn)原來的盤序、塊大小及熱備盤和之前分析的結果都不相同，盤序更是相差很多。
7、返回每塊盤前面物理地址進行觀察，發(fā)現(xiàn)所有盤前2G的數(shù)據幾乎都為0。結合前面所有的分析結果，北亞數(shù)據恢復工程師最終判定了用戶的操作：RAID發(fā)生異常后，用戶將部分硬盤取出但未標記盤號，重新插回硬盤后開始初始化。當硬盤開始寫操作后發(fā)現(xiàn)情況不對，馬上對服務器進行了關機操作，重啟服務器后發(fā)現(xiàn)RAID似乎又正常了。進入系統(tǒng)后發(fā)現(xiàn)邏輯卷空了，于是又對其進行了格式化。
8、重新分析RAID信息，因分區(qū)太大無法重組，北亞數(shù)據恢復工程師只能手工修改部分數(shù)據并導出，最終恢復出50%左右的數(shù)據。其余數(shù)據因FILE RECORD丟失無法找到名稱與目錄，對醫(yī)院而言，即使恢復出這些無法找到名稱與目錄的數(shù)據也沒有意義。

審核編輯 黃昊宇