虛擬化數(shù)據(jù)恢復(fù)——Hyper-V虛擬機(jī)數(shù)據(jù)恢復(fù)案例

虛擬化數(shù)據(jù)恢復(fù)環(huán)境：
Windows Server操作系統(tǒng)服務(wù)器上部署Hyper-V虛擬機(jī)環(huán)境。虛擬機(jī)的硬盤文件和配置文件存放在一臺存儲(chǔ)中，該存儲(chǔ)上有一組由4塊硬盤組建的raid5陣列，除此之外，還有一塊單盤存放檔虛擬機(jī)的備份文件。

虛擬化故障&檢測：
存儲(chǔ)中存放的虛擬機(jī)數(shù)據(jù)文件丟失，導(dǎo)致整個(gè)Hyper-V服務(wù)癱瘓，虛擬機(jī)無法使用。
北亞企安數(shù)據(jù)恢復(fù)工程師達(dá)到現(xiàn)場后，對故障虛擬化環(huán)境做了以下檢測：
1、對服務(wù)器和存儲(chǔ)進(jìn)行物理故障檢測，經(jīng)過檢測沒有發(fā)現(xiàn)設(shè)備存在物理故障，硬盤均正常讀取和工作。
2、對服務(wù)器操作系統(tǒng)進(jìn)行檢測：檢測結(jié)果為操作系統(tǒng)工作正常，未發(fā)現(xiàn)錯(cuò)誤進(jìn)程，排除操作系統(tǒng)問題。
3、對丟失數(shù)據(jù)的硬盤的文件系統(tǒng)進(jìn)行檢測：文件系統(tǒng)打開正常，殺毒軟件檢測正常。經(jīng)過檢測發(fā)現(xiàn)文件系統(tǒng)的元文件創(chuàng)建時(shí)間（文件系統(tǒng)的創(chuàng)建時(shí)間）與數(shù)據(jù)丟失的時(shí)間一致。這種表現(xiàn)意味著：文件系統(tǒng)被人為重寫，即分區(qū)被格式化了。
4、對系統(tǒng)日志進(jìn)行檢測：發(fā)現(xiàn)數(shù)據(jù)丟失的當(dāng)天以及之前的系統(tǒng)日志被清空，審核日志和服務(wù)日志卻還存在。這種表現(xiàn)意味著此操作是人為造成的。格式化分區(qū)的操作只記錄在系統(tǒng)日志中，符合人為破壞的特征。
5、嘗試恢復(fù)系統(tǒng)日志：仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復(fù)。
6、對操作系統(tǒng)中的所有分區(qū)進(jìn)行分析：發(fā)現(xiàn)只有存儲(chǔ)中的兩個(gè)分區(qū)被重新寫入文件系統(tǒng)了。兩個(gè)分區(qū)的格式化需要兩個(gè)獨(dú)立的過程來完成，這種針對性的操作應(yīng)該是人為的。

虛擬化數(shù)據(jù)恢復(fù)過程：
1、將故障存儲(chǔ)中所有的硬盤做好標(biāo)記，從槽位上拔出，經(jīng)硬件工程師檢測沒問題。以只讀方式將所有磁盤進(jìn)行扇區(qū)級全盤鏡像，鏡像完成后將所有磁盤按照原樣還原到原存儲(chǔ)中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
備份硬盤數(shù)據(jù)：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

2、基于鏡像文件分析所有硬盤底層數(shù)據(jù)，獲取重組RAID5所需要的相關(guān)信息（條帶大小，條帶走向、盤序）等信息。根據(jù)上述獲取到的信息重組RAID。
重組RAID：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

打開陣列：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

3、分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)著許多以前文件系統(tǒng)的目錄項(xiàng)及文件索引殘留。經(jīng)過核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。北亞企安數(shù)據(jù)恢復(fù)工程師編寫了一個(gè)提取文件索引項(xiàng)的小程序，掃描&提取所有存在的文件索引項(xiàng)。
4、分析掃描到的文件索引項(xiàng)，發(fā)現(xiàn)這些索引項(xiàng)都是不連續(xù)的且大多是以16K或8K對齊的。正常情況下，文件索引項(xiàng)是連續(xù)的且大小為固定的1K，每個(gè)文件索引項(xiàng)對應(yīng)一個(gè)文件或目錄。掃描出來的這些不連續(xù)且不完整的文件索引項(xiàng)無法正常索引到文件的內(nèi)容，需要對這些掃描出來的文件索引項(xiàng)進(jìn)行處理。
文件索引項(xiàng)截圖：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

5、找到所有的文件索引項(xiàng)后根據(jù)文件索引項(xiàng)的編號將其拼接成目錄結(jié)構(gòu)。雖然有部分文件索引項(xiàng)被破壞，但是找到大部分文件索引項(xiàng)已經(jīng)足夠拼接出目錄結(jié)構(gòu)了。
掃描到的文件索引項(xiàng)碎片：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

6：將重建好的目錄結(jié)構(gòu)和現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)進(jìn)行替換，修改部分校驗(yàn)值，然后對這個(gè)目錄結(jié)構(gòu)進(jìn)行解釋即可看到丟失的數(shù)據(jù)。
解釋出來的目錄結(jié)構(gòu)：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

驗(yàn)證數(shù)據(jù)的正確性：將其中一個(gè)比較新的VHD文件恢復(fù)出來，然后將其拷貝到一臺支持附加VHD的服務(wù)器上，嘗試附加此VHD。結(jié)果附加成功，檢查VHD中最新數(shù)據(jù)是否完整。如果數(shù)據(jù)是完整的，就將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。
恢復(fù)出來的虛擬機(jī)數(shù)據(jù)文件：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

7、在一臺測試服務(wù)器上搭建Hyper-V的環(huán)境。將恢復(fù)出來的虛擬機(jī)文件連接到這臺服務(wù)器上，然后通過導(dǎo)入虛擬機(jī)的方式將恢復(fù)出來的數(shù)據(jù)遷移到新的Hyper-V環(huán)境。讓用戶方驗(yàn)證所有虛擬機(jī)是否完整。
虛擬機(jī)導(dǎo)入的過程：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

8、用戶方經(jīng)過驗(yàn)證，確認(rèn)所有虛擬機(jī)沒有問題。將所有數(shù)據(jù)拷貝到用戶方準(zhǔn)備好的服務(wù)器中，然后利用導(dǎo)入的方式將虛擬機(jī)導(dǎo)入到用戶方準(zhǔn)備好的Hyper-V環(huán)境中。需要以下面的方式導(dǎo)入虛擬機(jī)，導(dǎo)入后沒有出現(xiàn)報(bào)錯(cuò)。啟動(dòng)所有虛擬機(jī)，所有虛擬機(jī)啟動(dòng)都沒問題。

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

審核編輯 黃宇