虛擬化數(shù)據(jù)恢復(fù)環(huán)境：
Windows Server操作系統(tǒng)服務(wù)器上部署Hyper-V虛擬機環(huán)境。虛擬機的硬盤文件和配置文件存放在一臺存儲中，該存儲上有一組由4塊硬盤組建的raid5陣列，除此之外，還有一塊單盤存放檔虛擬機的備份文件。

虛擬化故障&檢測：
存儲中存放的虛擬機數(shù)據(jù)文件丟失，導(dǎo)致整個Hyper-V服務(wù)癱瘓，虛擬機無法使用。
北亞企安數(shù)據(jù)恢復(fù)工程師達到現(xiàn)場后，對故障虛擬化環(huán)境做了以下檢測：
1、對服務(wù)器和存儲進行物理故障檢測，經(jīng)過檢測沒有發(fā)現(xiàn)設(shè)備存在物理故障，硬盤均正常讀取和工作。
2、對服務(wù)器操作系統(tǒng)進行檢測：檢測結(jié)果為操作系統(tǒng)工作正常，未發(fā)現(xiàn)錯誤進程，排除操作系統(tǒng)問題。
3、對丟失數(shù)據(jù)的硬盤的文件系統(tǒng)進行檢測：文件系統(tǒng)打開正常，殺毒軟件檢測正常。經(jīng)過檢測發(fā)現(xiàn)文件系統(tǒng)的元文件創(chuàng)建時間（文件系統(tǒng)的創(chuàng)建時間）與數(shù)據(jù)丟失的時間一致。這種表現(xiàn)意味著：文件系統(tǒng)被人為重寫，即分區(qū)被格式化了。
4、對系統(tǒng)日志進行檢測：發(fā)現(xiàn)數(shù)據(jù)丟失的當(dāng)天以及之前的系統(tǒng)日志被清空，審核日志和服務(wù)日志卻還存在。這種表現(xiàn)意味著此操作是人為造成的。格式化分區(qū)的操作只記錄在系統(tǒng)日志中，符合人為破壞的特征。
5、嘗試恢復(fù)系統(tǒng)日志：仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復(fù)。
6、對操作系統(tǒng)中的所有分區(qū)進行分析：發(fā)現(xiàn)只有存儲中的兩個分區(qū)被重新寫入文件系統(tǒng)了。兩個分區(qū)的格式化需要兩個獨立的過程來完成，這種針對性的操作應(yīng)該是人為的。

虛擬化數(shù)據(jù)恢復(fù)過程：
1、將故障存儲中所有的硬盤做好標(biāo)記，從槽位上拔出，經(jīng)硬件工程師檢測沒問題。以只讀方式將所有磁盤進行扇區(qū)級全盤鏡像，鏡像完成后將所有磁盤按照原樣還原到原存儲中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
備份硬盤數(shù)據(jù)：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

2、基于鏡像文件分析所有硬盤底層數(shù)據(jù)，獲取重組RAID5所需要的相關(guān)信息（條帶大小，條帶走向、盤序）等信息。根據(jù)上述獲取到的信息重組RAID。
重組RAID：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

打開陣列：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

3、分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)著許多以前文件系統(tǒng)的目錄項及文件索引殘留。經(jīng)過核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。北亞企安數(shù)據(jù)恢復(fù)工程師編寫了一個提取文件索引項的小程序，掃描&提取所有存在的文件索引項。
4、分析掃描到的文件索引項，發(fā)現(xiàn)這些索引項都是不連續(xù)的且大多是以16K或8K對齊的。正常情況下，文件索引項是連續(xù)的且大小為固定的1K，每個文件索引項對應(yīng)一個文件或目錄。掃描出來的這些不連續(xù)且不完整的文件索引項無法正常索引到文件的內(nèi)容，需要對這些掃描出來的文件索引項進行處理。
文件索引項截圖：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

5、找到所有的文件索引項后根據(jù)文件索引項的編號將其拼接成目錄結(jié)構(gòu)。雖然有部分文件索引項被破壞，但是找到大部分文件索引項已經(jīng)足夠拼接出目錄結(jié)構(gòu)了。
掃描到的文件索引項碎片：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

6：將重建好的目錄結(jié)構(gòu)和現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)進行替換，修改部分校驗值，然后對這個目錄結(jié)構(gòu)進行解釋即可看到丟失的數(shù)據(jù)。
解釋出來的目錄結(jié)構(gòu)：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

驗證數(shù)據(jù)的正確性：將其中一個比較新的VHD文件恢復(fù)出來，然后將其拷貝到一臺支持附加VHD的服務(wù)器上，嘗試附加此VHD。結(jié)果附加成功，檢查VHD中最新數(shù)據(jù)是否完整。如果數(shù)據(jù)是完整的，就將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。
恢復(fù)出來的虛擬機數(shù)據(jù)文件：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

7、在一臺測試服務(wù)器上搭建Hyper-V的環(huán)境。將恢復(fù)出來的虛擬機文件連接到這臺服務(wù)器上，然后通過導(dǎo)入虛擬機的方式將恢復(fù)出來的數(shù)據(jù)遷移到新的Hyper-V環(huán)境。讓用戶方驗證所有虛擬機是否完整。
虛擬機導(dǎo)入的過程：

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

8、用戶方經(jīng)過驗證，確認(rèn)所有虛擬機沒有問題。將所有數(shù)據(jù)拷貝到用戶方準(zhǔn)備好的服務(wù)器中，然后利用導(dǎo)入的方式將虛擬機導(dǎo)入到用戶方準(zhǔn)備好的Hyper-V環(huán)境中。需要以下面的方式導(dǎo)入虛擬機，導(dǎo)入后沒有出現(xiàn)報錯。啟動所有虛擬機，所有虛擬機啟動都沒問題。

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—Hyper-V數(shù)據(jù)恢復(fù)

審核編輯 黃宇