服務(wù)器數(shù)據(jù)恢復(fù)—意外斷電導(dǎo)致虛擬機(jī)虛擬磁盤損壞的數(shù)據(jù)恢復(fù)案例

服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
一臺服務(wù)器中有一組由4塊STAT硬盤通過RAID卡組建的RAID10陣列，上層是XenServer虛擬化平臺，虛擬機(jī)安裝Windows Server操作系統(tǒng)，作為Web服務(wù)器使用。

服務(wù)器故障：
因機(jī)房異常斷電導(dǎo)致服務(wù)器中一臺VPS（Xen Server虛擬機(jī)）不可用，虛擬磁盤文件丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過程：
1、將故障服務(wù)器中所有磁盤編號后取出，硬件工程師檢測后沒有發(fā)現(xiàn)有磁盤存在硬件故障。以只讀方式將所有磁盤進(jìn)行扇區(qū)級全盤鏡像，鏡像完成后將所有磁盤按照原樣還原到原服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析所有硬盤底層數(shù)據(jù)，發(fā)現(xiàn)服務(wù)器中虛擬機(jī)的虛擬磁盤均通過LVM的結(jié)構(gòu)管理，即每個虛擬機(jī)的虛擬磁盤都是一個LV。虛擬磁盤采用精簡模式。LVM的相關(guān)信息在XenServer中都有記載。查看LVM的相關(guān)信息并沒有發(fā)現(xiàn)損壞的虛擬磁盤信息，基本上可以判斷LVM的信息已經(jīng)被更新了。繼續(xù)分析底層看能否找到未被更新的LVM信息，結(jié)果還真在底層發(fā)現(xiàn)了還未更新的LVM信息。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

3、根據(jù)未被更新的LVM信息找到虛擬磁盤的數(shù)據(jù)區(qū)域，發(fā)現(xiàn)該區(qū)域的數(shù)據(jù)已被破壞。這種情況極大可能是虛擬機(jī)遭遇網(wǎng)絡(luò)攻擊或入侵后導(dǎo)致的。仔細(xì)核對這片區(qū)域后發(fā)現(xiàn)該區(qū)域雖然有很多數(shù)據(jù)被破壞了，但還是發(fā)現(xiàn)了很多數(shù)據(jù)庫的頁碎片?？梢試L試將許多數(shù)據(jù)庫的頁碎片拼接成一個可用的數(shù)據(jù)庫。
4、經(jīng)過北亞企安數(shù)據(jù)恢復(fù)工程師團(tuán)隊(duì)會診后確定以下數(shù)據(jù)恢復(fù)方案。
方案一：根據(jù)RAR壓縮包的結(jié)構(gòu)可以找到壓縮包的數(shù)據(jù)開始位置，RAR壓縮包文件的第一個扇區(qū)會記錄此RAR的文件名。將備份數(shù)據(jù)庫的壓縮包文件名和目前找到的壓縮包位置的文件名進(jìn)行匹配，即可找到備份數(shù)據(jù)庫壓縮包的數(shù)據(jù)開始位置。找到壓縮包的位置后仔細(xì)分析這片區(qū)域的數(shù)據(jù)，將此區(qū)域的數(shù)據(jù)恢復(fù)出來重命名為一個RAR格式的壓縮文件。然后嘗試解壓這些壓縮包，發(fā)現(xiàn)解壓報錯。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

仔細(xì)分析恢復(fù)出來的壓縮包發(fā)現(xiàn)有部分?jǐn)?shù)據(jù)被破壞。嘗試使用RAR修復(fù)工具看能否在設(shè)置為忽略錯誤的情況下解壓部分?jǐn)?shù)據(jù)。結(jié)果修復(fù)完成之后解壓數(shù)據(jù)中只有網(wǎng)站的部分代碼，并沒有發(fā)現(xiàn)數(shù)據(jù)庫的備份文件。因此可以判斷RAR壓縮包中的數(shù)據(jù)庫備份文件已經(jīng)損壞。
是解壓出來的部分網(wǎng)站代碼：

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

方案二：
由于方案一并沒有將數(shù)據(jù)庫恢復(fù)出來，因此采用方案二。
根據(jù)SQL Server數(shù)據(jù)庫的結(jié)構(gòu)去底層分析數(shù)據(jù)庫的開始位置。在數(shù)據(jù)庫的結(jié)構(gòu)中，第9個頁會記錄本數(shù)據(jù)庫的數(shù)據(jù)庫名。從用戶方獲取到數(shù)據(jù)庫的名稱后，分析底層找到此數(shù)據(jù)庫的開始位置。因?yàn)樵跀?shù)據(jù)庫的每個頁中都會記錄數(shù)據(jù)庫頁編號以及文件號，北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)這些特征編寫程序去底層掃描
符合數(shù)據(jù)庫頁的數(shù)據(jù)。將掃描出來的碎片按順序重組成一個完整MDF文件，再通過MDF校驗(yàn)程序檢測整個MDF文件的完整性。
重建的MDF文件：

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

5、檢測沒問題后搭建數(shù)據(jù)庫環(huán)境，將重組后的數(shù)據(jù)庫附加到搭建好的數(shù)據(jù)庫環(huán)境中。查詢相關(guān)表數(shù)據(jù)是否正常，查詢最新數(shù)據(jù)是否存在。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

6、用戶方從網(wǎng)站開發(fā)的服務(wù)商拿到完整的網(wǎng)站代碼搭建好環(huán)境，然后將恢復(fù)出來的數(shù)據(jù)庫在搭建好的環(huán)境中進(jìn)行測試。經(jīng)用戶測試后，確認(rèn)數(shù)據(jù)庫沒有問題。

審核編輯 黃宇