服務器數據恢復環境：
一臺服務器中有一組由4塊STAT硬盤通過RAID卡組建的RAID10陣列，上層是XenServer虛擬化平臺，虛擬機安裝Windows Server操作系統，作為Web服務器使用。

服務器故障：
因機房異常斷電導致服務器中一臺VPS（Xen Server虛擬機）不可用，虛擬磁盤文件丟失。

服務器數據恢復過程：
1、將故障服務器中所有磁盤編號后取出，硬件工程師檢測后沒有發現有磁盤存在硬件故障。以只讀方式將所有磁盤進行扇區級全盤鏡像，鏡像完成后將所有磁盤按照原樣還原到原服務器中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
2、基于鏡像文件分析所有硬盤底層數據，發現服務器中虛擬機的虛擬磁盤均通過LVM的結構管理，即每個虛擬機的虛擬磁盤都是一個LV。虛擬磁盤采用精簡模式。LVM的相關信息在XenServer中都有記載。查看LVM的相關信息并沒有發現損壞的虛擬磁盤信息，基本上可以判斷LVM的信息已經被更新了。繼續分析底層看能否找到未被更新的LVM信息，結果還真在底層發現了還未更新的LVM信息。

北亞企安數據恢復—虛擬機數據恢復

3、根據未被更新的LVM信息找到虛擬磁盤的數據區域，發現該區域的數據已被破壞。這種情況極大可能是虛擬機遭遇網絡攻擊或入侵后導致的。仔細核對這片區域后發現該區域雖然有很多數據被破壞了，但還是發現了很多數據庫的頁碎片。可以嘗試將許多數據庫的頁碎片拼接成一個可用的數據庫。
4、經過北亞企安數據恢復工程師團隊會診后確定以下數據恢復方案。
方案一：根據RAR壓縮包的結構可以找到壓縮包的數據開始位置，RAR壓縮包文件的第一個扇區會記錄此RAR的文件名。將備份數據庫的壓縮包文件名和目前找到的壓縮包位置的文件名進行匹配，即可找到備份數據庫壓縮包的數據開始位置。找到壓縮包的位置后仔細分析這片區域的數據，將此區域的數據恢復出來重命名為一個RAR格式的壓縮文件。然后嘗試解壓這些壓縮包，發現解壓報錯。

北亞企安數據恢復—虛擬機數據恢復

仔細分析恢復出來的壓縮包發現有部分數據被破壞。嘗試使用RAR修復工具看能否在設置為忽略錯誤的情況下解壓部分數據。結果修復完成之后解壓數據中只有網站的部分代碼，并沒有發現數據庫的備份文件。因此可以判斷RAR壓縮包中的數據庫備份文件已經損壞。
是解壓出來的部分網站代碼：

北亞企安數據恢復—虛擬機數據恢復

方案二：
由于方案一并沒有將數據庫恢復出來，因此采用方案二。
根據SQL Server數據庫的結構去底層分析數據庫的開始位置。在數據庫的結構中，第9個頁會記錄本數據庫的數據庫名。從用戶方獲取到數據庫的名稱后，分析底層找到此數據庫的開始位置。因為在數據庫的每個頁中都會記錄數據庫頁編號以及文件號，北亞企安數據恢復工程師根據這些特征編寫程序去底層掃描
符合數據庫頁的數據。將掃描出來的碎片按順序重組成一個完整MDF文件，再通過MDF校驗程序檢測整個MDF文件的完整性。
重建的MDF文件：

北亞企安數據恢復—虛擬機數據恢復

5、檢測沒問題后搭建數據庫環境，將重組后的數據庫附加到搭建好的數據庫環境中。查詢相關表數據是否正常，查詢最新數據是否存在。

北亞企安數據恢復—虛擬機數據恢復

6、用戶方從網站開發的服務商拿到完整的網站代碼搭建好環境，然后將恢復出來的數據庫在搭建好的環境中進行測試。經用戶測試后，確認數據庫沒有問題。

審核編輯 黃宇