1、虛擬機環(huán)境
故障虛擬化環(huán)境為ESXI虛擬化服務器,虛擬機環(huán)境,虛擬機的硬盤文件和配置文件放在北京某服務器托管公司的DELL MD3200存儲中(存儲由5塊容量為600G的硬盤組成raid磁盤陣列)。該存儲中4塊硬盤用作存儲虛擬機的數(shù)據(jù)文件。單塊硬盤用作虛擬機數(shù)據(jù)文件的備份。
2、虛擬機故障分析
對MD3200存儲服務器進行物理檢測:發(fā)現(xiàn)存儲并未出現(xiàn)物理故障,涉事硬盤均正常工作
檢查操作系統(tǒng):工作正常中,未發(fā)現(xiàn)出錯進程,排除因操作系統(tǒng)BUG導致的數(shù)據(jù)丟失。
分析丟失數(shù)據(jù)硬盤的文件系統(tǒng):打開正常,不符合病毒破壞的表現(xiàn)特征,同時經殺毒軟件檢測無病毒。再仔細分析硬盤的文件系統(tǒng),發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時間為4月24日,表明文件系統(tǒng)的創(chuàng)建時間為4月24日,與數(shù)據(jù)丟失的時間相吻合。通常這種故障表明文件系統(tǒng)被人為重寫了,即分區(qū)被格式化了。
檢查系統(tǒng)日志:發(fā)現(xiàn)系統(tǒng)日志11月28號之前以及當天的系統(tǒng)日志已被清空,審核日志和服務日志卻并未清空。通常情況下,此操作應該由人為導致。而格式化分區(qū)的操作只記錄在系統(tǒng)日志中,這與上述人為破壞的表現(xiàn)相符。
嘗試恢復系統(tǒng)日志:仔細分析硬盤底層數(shù)據(jù),發(fā)現(xiàn)硬盤底層中需要恢復的系統(tǒng)日志已被新的日志記錄覆蓋,無法恢復。
分析操作系統(tǒng)中的所有分區(qū):發(fā)現(xiàn)只有MD3200存儲中的兩個分區(qū)的文件系統(tǒng)被重新寫入文件系統(tǒng)了。通常情況下,對兩個分區(qū)的格式化需要有兩個獨立的過程,因此這種針對性的操作應該由人為導致。
3、導致該故障的常見方式總結
通過在分區(qū)上“右鍵”,選擇“格式化”按鈕,可以格式化選中的分區(qū)。
在開始菜單“運行”中輸入“cmd”命令進入到命令行模式,然后使用FORMAT命令,可以格式化指定分區(qū)。
創(chuàng)建一個bat文件,在文件中寫入格式化的命令,然后運行bat文件可以格式化指定分區(qū)。
因為有兩個獨立的文件系統(tǒng)數(shù)據(jù)丟失,故上述的流程可能被執(zhí)行了多次。應該因人為操作導致。
1.對丟失數(shù)據(jù)的硬盤。做全盤備份,以確保數(shù)據(jù)的安全性。
2.分析每個硬盤的數(shù)據(jù),根據(jù)分析的結構重組RAID 陣列。
3.分析重組完的陣列,看能否找到原有的文件索引項及對應的數(shù)據(jù)區(qū)。
4.核對查到的文件索引項是否符合用戶數(shù)據(jù),并核對相應的數(shù)據(jù)區(qū)有無破壞。
1.備份用戶數(shù)據(jù)
由于數(shù)據(jù)全部都放Dell M3200存儲中,因此只需要恢復Dell M3200存儲中的數(shù)據(jù)即可。將Dell M3200存儲中所有的硬盤編號標記后從存儲中拔下來交給硬件數(shù)據(jù)恢復團隊檢測硬盤是否存在物理故障。經檢測沒問題后對每塊硬盤做全盤鏡像,使用數(shù)據(jù)恢復工具將硬盤中所有扇區(qū)鏡像到一塊備份硬盤中。
如下圖:使用專業(yè)數(shù)據(jù)恢復工具備份所有硬盤數(shù)據(jù)
2、重組磁盤陣列
對所有硬盤進行鏡像備份后分析每塊硬盤上的數(shù)據(jù)。發(fā)現(xiàn)4塊600G硬盤做了一個RAID5,另一塊600G硬盤做為數(shù)據(jù)備份使用。通過對硬盤結構進行詳細分析得出該RAID 5磁盤陣列的相關信息,如:條帶大小,條帶走向等信息。根據(jù)這些信息即可重組此RAID。
如下圖:使用專業(yè)工具重組RAID
如下圖:是用專業(yè)工具打開硬盤陣列的情況
3、掃描舊的文件索引項
仔細分析硬盤底層數(shù)據(jù),發(fā)現(xiàn)硬盤底層中還殘留著許多以前文件系統(tǒng)的目錄項及文件索引。經過仔細核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內容。但由于整個硬盤太大,人工去搜索文件索引會很慢,因此編寫一個提取文件索引項的小程序,對整個硬盤中所有存在的文件索引項做掃描,提取所有文件的文件索引項。
4、分析掃描到文件索引項
對掃描到的所有文件索引項分析,發(fā)現(xiàn)其索引項均不連續(xù)并且大多以14K或6K對齊。正常情況下的文件索引項是連續(xù)且大小固定,每個文件索引項對應一個文件或目錄。掃描出來的這些不連續(xù)、不完整的文件索引項是無法正常索引到文件的內容,因此需要對掃描出來的文件索引項做加工處理。在掃描出來的文件索引項中搜索” .VHD”,能找到一個” .VHD”的文件記錄。然后將這個片連續(xù)的文件索引項提取出來。接著再查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者是H20屬性。如果有則根據(jù)文件索引項中的特征去匹配下一段文件索引項,如果沒有則跳過這段文件索引項。根據(jù)以上方法基本能查到大多數(shù)的文件索引項片段。而缺失的文件索引項片段有可能被破壞了,但是可以從數(shù)據(jù)備份盤中去查找缺失的文件索引項片段,因此基本可以搜索到大部分的文件索引項。
如下圖:是文件索引項截圖
5、將文件索引項組成完整的目錄結構
根據(jù)上述方法找到所有文件索引項,根據(jù)文件索引項的編號將其拼接成整個目錄項結構。以下是搜索到的部分文件索引項,由于有部分文件索引項被破壞,因此只能找到大部分文件索引項,但這些文件索引項已經足以拼接成整個目錄結構了。
如下圖:是掃描到的文件索引項碎片
將重建好的目錄結構和現(xiàn)有文件系統(tǒng)中的目錄結構進行替換,然后使用數(shù)據(jù)恢復工具修改部分校驗值。再使用數(shù)據(jù)恢復工具解釋這個目錄結構即可看到原有丟失的數(shù)據(jù)。
如下圖:是用專業(yè)工具解釋出來的目錄結構
為了確定數(shù)據(jù)是否正確,將其中一個最新的VHD文件恢復出來。然后將其拷貝到一臺支持附加VHD的服務器上,嘗試附加此VHD。結果附加成功,檢查VHD中最新的數(shù)據(jù)是否完整。一切檢查完整后將所有數(shù)據(jù)恢復到一塊硬盤中。
如下圖:是恢復出來的所有虛擬機數(shù)據(jù)文件
在一臺測試服務器上搭建Hyper-V的環(huán)境,將恢復的虛擬機文件連接到這臺服務器上,通過導入虛擬機的方式將恢復的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境。最后讓客戶來驗證所有虛擬機是否完整。
如下圖:是虛擬機導入的過程
在客戶驗證所有虛擬機數(shù)據(jù)恢復成功后,將所有數(shù)據(jù)拷貝至客戶服務器中。然后利用導入的方式將虛擬機導入到客戶的Hyper-V環(huán)境中。
另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內外云服務器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應用場景需求。