虛擬化數據如何恢復，虛擬機數據丟失數據能恢復么？

發布時間：2023-11-17 10:57:17 瀏覽量：426

虛擬化數據如何恢復，虛擬機數據丟失數據能恢復么？

虛擬化服務器故障介紹：

客戶的一臺存儲服務器中由于未知原因發現虛擬機數據文件丟失，hyper-v服務受到影響導致虛擬機服務器不能正常使用。客戶緊急聯系了南京雷超科技前往服務器機房進行數據恢復檢測。首先由硬件數據恢復工程師對客戶的物理服務器進行了故障排查，未發現物理故障；隨后由服務器數據恢復工程師對服務器的操作系統進行檢測，操作系統也正常；服務器底層的硬盤文件系統未發現病毒破壞跡象；對文件系統進行進一步分析發現元文件創建時間與數據丟失時間一致，初步確認數據丟失的原因是分區格式化、文件系統重寫導致。

服務器數據恢復故障分析

根據檢測結果繼續反推服務器數據丟失原因，在系統日志中發現數據丟失當天及以前日期的系統日志不存在，但服務日志、審核日志存在完整，未見破壞痕跡。進一步印證了本次服務器數據丟失的原因與人為操作有關。于是我們的服務器數據恢復工程師嘗試對系統日志進行更深一步的分析，但是由于日志文件被覆蓋，無法進行恢復。

虛擬機服務器數據恢復方案

按照服務器數據恢復工程師的恢復思路，客戶虛擬機及所有數據全部存放于存儲服務器中，想要恢復上層虛擬化的數據只需要將底層服務器內的數據進行恢復即可，數據恢復工程師將客戶服務器內的所有數據進行鏡像備份后，開始對鏡像文件進行數據恢復操作。

服務器數據恢復過程

我們數據恢復工程師使用南京雷超科技自主研發的服務器數據恢復工具，對客戶原服務器內的數據進行了自動分析和raid重組。

1、掃描舊的文件索引項

服務器數據恢復工程師對客戶的硬盤底層數據進行了掃描，找到大量未被覆蓋的文件索引、文件系統目錄項等信息，于是數據恢復工程師針對本次案例的實際情況編寫了一個小程序，將客戶服務器硬盤中的所有文件索引項都進行了掃描和提取。以備后續數據恢復使用。

2、還原服務器目錄結構

如果在正常情況下，服務器的文件索引項固定為1KB，呈連續分布狀態，每個文件索引項對應一個相應的目錄（或文件）。但是數據恢復工程師對提取到的文件索引項進行分析發現這些文件索引項多數以16或8KB對齊，呈不連續且無規律狀態分布，這種情況下是無法找到所需的文件內容的，于是數據恢復工程師做了如下操作：

在所有提取出來的文件索引項中搜索“VHD”文件記錄，將與之連續的文件索引項提取出來，接著再查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者是H20屬性。如果有則根據文件索引項中的特征去匹配下一段文件索引項，如果沒有則跳過這段文件索引項。根據以上方法基本能查到大多數的文件索引項片段。而缺失的文件索引項片段有可能被破壞了，但是可以從數據備份盤中去查找缺失的文件索引項片段，因此基本可以搜索到大部分的文件索引項，從而拼接成為一個完整的目錄項結構。

3、修復服務器文件系統

服務器數據恢復工程師將重建好的目錄結構與服務器原有的文件系統目錄結構進行替換，修改部分校驗值。使用自研發的服務器數據恢復工具對重建的目錄結構進行解析和計算，初步可以看到客戶服務器內丟失的數據了。

為了確認恢復出的數據是否完整，服務器數據恢復工程師在恢復出的數據中隨機拷貝出一個VHD文件，在數據恢復專用服務器上附加此VHD文件，檢查VHD中的數據完整性。

4、驗證服務器數據恢復結果

經過服務器數據恢復工程師對恢復結果初步驗證沒有異常后，在北亞的數據恢復專用服務器上搭建一個新的hyper-v虛擬化環境，將恢復出的數據導入到虛擬化環境中，由客戶管理員對數據恢復的結果進行驗證。經過驗證，本次數據恢復成功。將恢復出的數據遷移回客戶的hyper-v環境并啟動虛擬機，所有數據正常，本次服務器數據恢復圓滿成功。