服務器存儲數據恢復環境：
EMC Isilon S200集群存儲，共三個節點，每節點配置12塊SATA硬盤。

服務器存儲故障：
工作人員誤操作刪除虛擬機，虛擬機中數據包括數據庫、MP4、AS、TS類型的視頻文件等。需要恢復數據的虛擬機通過NFS協議共享到ESX主機，視頻文件通過CIFS協議共享給虛擬機（WEB服務器）。
通過NFS協議共享的所有數據（虛擬機）被刪除，而通過CIFS協議共享的數據沒有被刪除。

北亞企安數據恢復——虛擬機數據恢復

服務器存儲數據恢復過程：
1、將所有節點中硬盤編號后取出，硬件工程師檢測后沒有發現有硬盤存在硬件故障和明顯壞道。將所有磁盤以只讀方式進行扇區級全盤鏡像，鏡像完成后將所有磁盤按照編號還原到原節點中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。

北亞企安數據恢復——虛擬機數據恢復

2、所有數據備份完成后，在Isilon的web管理界面中將Isilon正常關機。

北亞企安數據恢復——虛擬機數據恢復

基于鏡像文件對底層數據進行分析。由于是誤刪除數據，所以需要分析數據刪除后Indoe及數據MAP是否發生變化。由于被刪除的虛擬磁盤文件大小都在64G或以上，而且存儲中無其他大文件。北亞企安數據恢復工程師編寫程序掃描所有文件Indoe，將大小不小于64G的文件indoe全部掃描出來。通過掃描Indoe找出數據MAP位置，發現其index指向的內容已不再是正常數據，并且所有節點上的Indoe均是同樣的情況。
3、分析Inode，發現大文件的數據MAP會有多層（樹結構）,并且數據MAP中會記錄文件的唯一ID，因此可以嘗試找到文件最底層的數據MAP。北亞企安數據恢復工程師嘗試對文件底層數據MAP做遍歷跟蹤操作，發現底層的數據MAP還在。

北亞企安數據恢復——虛擬機數據恢復

4、通過文件的Inode提取唯一ID，然后將所有符合該ID的數據MAP做聚合。根據數據MAP中的VCN號排序，北亞企安數據恢復工程師分析發現每個文件的前17088項數據MAP都不存在，理論上這些數據是無法恢復了。
5、通過數據換算得知丟失的數據MAP項的大小不到1GB，刪除的文件是虛擬機的vmdk文件，里面都是NTFS文件系統，而NTFS文件系統的MFT一般都在3GB的位置，只需要在每個vmdk文件的頭部偽造一個MBR和DBR就可以解釋vmdk里面的數據。解釋掃描到的數據MAP并根據VCN號的順序導出數據，沒有MAP的情況保留為零。
6、將其中一個vmdk文件導出，但導出的文件比實際情況要小，vmdk中MFT的位置也與自身描述不符。隨機驗證了幾個MPA發現都能指向數據區，程序解釋MAP的方式也都沒有問題，出現這種情況的原因可能為文件稀疏！
7、重新調整部分代碼再次導出vmdk，這次導出的數據正常且MFT的位置也在相應位置。手工偽造一個MBR，分區表以及DBR，再用北亞企安自主開發的文件系統解釋工具解釋文件系統，導出vmdk里面的數據庫及視頻文件。

北亞企安數據恢復——虛擬機數據恢復

8、經過驗證，此vmdk中的數據庫及視頻文件沒有發現問題，批量導出所有vmdk文件，再手動修改每個vmdk文件。
9、將所有數據恢復完成后，用戶方工程師對所有恢復出來的數據做完整性及準確性檢測，經過檢測沒有發現問題，本次數據恢復工作完成。

審核編輯 黃宇