虛擬機數據恢復環境：
某品牌服務器通過同品牌某型號的RAID卡，將4塊STAT硬盤為一組RAID10陣列。上層部署XenServer虛擬化平臺，虛擬機安裝Windows Server系統，每臺虛擬機有兩個虛擬機磁盤（系統盤 + 數據盤），虛擬機作為Web服務器使用。

虛擬機故障&分析：
機房異常斷電導致服務器中一臺VPS（XenServer虛擬機）不可用，虛擬磁盤文件丟失。
故障服務器中的XenServer虛擬機的磁盤是通過LVM管理的。每臺虛擬機的虛擬磁盤都是一個LV，且虛擬磁盤為精簡模式。LVM的相關信息在XenServer中都有記載。查看“/etc/lvm/backup/“目錄下關于LVM的相關信息，沒有發現損壞的虛擬磁盤的信息，因此可以判斷出LVM的信息已經被更新。只能通過分析底層看是否能找到未被更新的LVM信息，結果還真在底層發現了未被更新的LVM信息。

北亞企安數據恢復—虛擬機數據恢復

根據未被更新的LVM信息定位到虛擬磁盤的數據區域，但是發現該區域的數據已被破壞。虛擬磁盤被破壞導致虛擬機操作系統和數據丟失。這類情況發生通常是由于虛擬機遭遇網絡攻擊或虛擬機被入侵后留下的惡意程序造成的。仔細觀察發現雖然該區域中很多數據被破壞，但是發現很多數據庫的頁碎片，因此可以嘗試將數據庫的頁碎片拼接成一個完整可用的數據庫。

虛擬機數據恢復過程：
1、分析底層，根據RAR壓縮包的結構找到很多壓縮包的數據開始位置。由于RAR壓縮包文件的第一個扇區會記錄此RAR壓縮包文件的文件名，因此可以根據用戶方提供的備份數據庫的壓縮包文件名匹配目前從壓縮包第一個扇區找到的文件名，通過這種方式可以找到備份數據庫壓縮包的開始位置。找到備份數據庫壓縮包的開始位置后，仔細分析這片區域的數據，然后將此區域的數據恢復出來重命名為一個RAR格式的壓縮文件。然后嘗試解壓此壓縮包，但是解壓報錯。

北亞企安數據恢復—虛擬機數據恢復

經過數據恢復工程師的分析，確定解壓報錯的原因是部分數據被破壞了。嘗試使用RAR的修復工具（設置為忽略錯誤）來解壓數據。結果在解壓出來的數據中只找到網站的部分代碼，并沒有找到數據庫的備份文件。因此可以判斷RAR壓縮包中的數據庫備份文件是損壞的。

北亞企安數據恢復—虛擬機數據恢復

2、根據SQLServer數據庫的結構，在底層分析數據庫的開始位置。SQLServer數據庫的第9個頁會記錄本數據庫的數據庫名，因此可以通過用戶方提供的數據庫名稱在底層定位數據庫的開始位置。SQLServer數據庫的每個頁都會記錄數據庫頁編號以及文件號，因此北亞企安數據恢復工程師根據上述SQLServer數據庫特征編寫程序在底層掃描符合數據庫頁的數據。
將掃描出來的數據庫頁碎片按照順序重組成一個完整MDF文件，然后通過MDF校驗程序檢測這個MDF文件的完整性。

北亞企安數據恢復—虛擬機數據恢復

3、MDF文件檢測沒問題之后，數據恢復工程師搭建數據庫環境，將重組的數據庫附加到搭建好的數據庫環境中。查詢相關表數據是否正常以及最新數據是否存在。

北亞企安數據恢復—虛擬機數據恢復

4、使用用戶方提供的網站代碼搭建好環境，然后將恢復好的數據庫結合網站進行驗證，一切正常。用戶方認可數據恢復結果。

審核編輯 黃宇