服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
一臺(tái)服務(wù)器中有一組由4塊STAT硬盤(pán)通過(guò)RAID卡組建的RAID10陣列，上層是XenServer虛擬化平臺(tái)，虛擬機(jī)安裝Windows Server操作系統(tǒng)，作為Web服務(wù)器使用。

服務(wù)器故障：
因機(jī)房異常斷電導(dǎo)致服務(wù)器中一臺(tái)VPS（Xen Server虛擬機(jī)）不可用，虛擬磁盤(pán)文件丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程：
1、將故障服務(wù)器中所有磁盤(pán)編號(hào)后取出，硬件工程師檢測(cè)后沒(méi)有發(fā)現(xiàn)有磁盤(pán)存在硬件故障。以只讀方式將所有磁盤(pán)進(jìn)行扇區(qū)級(jí)全盤(pán)鏡像，鏡像完成后將所有磁盤(pán)按照原樣還原到原服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對(duì)原始磁盤(pán)數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析所有硬盤(pán)底層數(shù)據(jù)，發(fā)現(xiàn)服務(wù)器中虛擬機(jī)的虛擬磁盤(pán)均通過(guò)LVM的結(jié)構(gòu)管理，即每個(gè)虛擬機(jī)的虛擬磁盤(pán)都是一個(gè)LV。虛擬磁盤(pán)采用精簡(jiǎn)模式。LVM的相關(guān)信息在XenServer中都有記載。查看LVM的相關(guān)信息并沒(méi)有發(fā)現(xiàn)損壞的虛擬磁盤(pán)信息，基本上可以判斷LVM的信息已經(jīng)被更新了。繼續(xù)分析底層看能否找到未被更新的LVM信息，結(jié)果還真在底層發(fā)現(xiàn)了還未更新的LVM信息。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

3、根據(jù)未被更新的LVM信息找到虛擬磁盤(pán)的數(shù)據(jù)區(qū)域，發(fā)現(xiàn)該區(qū)域的數(shù)據(jù)已被破壞。這種情況極大可能是虛擬機(jī)遭遇網(wǎng)絡(luò)攻擊或入侵后導(dǎo)致的。仔細(xì)核對(duì)這片區(qū)域后發(fā)現(xiàn)該區(qū)域雖然有很多數(shù)據(jù)被破壞了，但還是發(fā)現(xiàn)了很多數(shù)據(jù)庫(kù)的頁(yè)碎片。可以嘗試將許多數(shù)據(jù)庫(kù)的頁(yè)碎片拼接成一個(gè)可用的數(shù)據(jù)庫(kù)。
4、經(jīng)過(guò)北亞企安數(shù)據(jù)恢復(fù)工程師團(tuán)隊(duì)會(huì)診后確定以下數(shù)據(jù)恢復(fù)方案。
方案一：根據(jù)RAR壓縮包的結(jié)構(gòu)可以找到壓縮包的數(shù)據(jù)開(kāi)始位置，RAR壓縮包文件的第一個(gè)扇區(qū)會(huì)記錄此RAR的文件名。將備份數(shù)據(jù)庫(kù)的壓縮包文件名和目前找到的壓縮包位置的文件名進(jìn)行匹配，即可找到備份數(shù)據(jù)庫(kù)壓縮包的數(shù)據(jù)開(kāi)始位置。找到壓縮包的位置后仔細(xì)分析這片區(qū)域的數(shù)據(jù)，將此區(qū)域的數(shù)據(jù)恢復(fù)出來(lái)重命名為一個(gè)RAR格式的壓縮文件。然后嘗試解壓這些壓縮包，發(fā)現(xiàn)解壓報(bào)錯(cuò)。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

仔細(xì)分析恢復(fù)出來(lái)的壓縮包發(fā)現(xiàn)有部分?jǐn)?shù)據(jù)被破壞。嘗試使用RAR修復(fù)工具看能否在設(shè)置為忽略錯(cuò)誤的情況下解壓部分?jǐn)?shù)據(jù)。結(jié)果修復(fù)完成之后解壓數(shù)據(jù)中只有網(wǎng)站的部分代碼，并沒(méi)有發(fā)現(xiàn)數(shù)據(jù)庫(kù)的備份文件。因此可以判斷RAR壓縮包中的數(shù)據(jù)庫(kù)備份文件已經(jīng)損壞。
是解壓出來(lái)的部分網(wǎng)站代碼：

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

方案二：
由于方案一并沒(méi)有將數(shù)據(jù)庫(kù)恢復(fù)出來(lái)，因此采用方案二。
根據(jù)SQL Server數(shù)據(jù)庫(kù)的結(jié)構(gòu)去底層分析數(shù)據(jù)庫(kù)的開(kāi)始位置。在數(shù)據(jù)庫(kù)的結(jié)構(gòu)中，第9個(gè)頁(yè)會(huì)記錄本數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名。從用戶(hù)方獲取到數(shù)據(jù)庫(kù)的名稱(chēng)后，分析底層找到此數(shù)據(jù)庫(kù)的開(kāi)始位置。因?yàn)樵跀?shù)據(jù)庫(kù)的每個(gè)頁(yè)中都會(huì)記錄數(shù)據(jù)庫(kù)頁(yè)編號(hào)以及文件號(hào)，北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)這些特征編寫(xiě)程序去底層掃描
符合數(shù)據(jù)庫(kù)頁(yè)的數(shù)據(jù)。將掃描出來(lái)的碎片按順序重組成一個(gè)完整MDF文件，再通過(guò)MDF校驗(yàn)程序檢測(cè)整個(gè)MDF文件的完整性。
重建的MDF文件：

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

5、檢測(cè)沒(méi)問(wèn)題后搭建數(shù)據(jù)庫(kù)環(huán)境，將重組后的數(shù)據(jù)庫(kù)附加到搭建好的數(shù)據(jù)庫(kù)環(huán)境中。查詢(xún)相關(guān)表數(shù)據(jù)是否正常，查詢(xún)最新數(shù)據(jù)是否存在。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

6、用戶(hù)方從網(wǎng)站開(kāi)發(fā)的服務(wù)商拿到完整的網(wǎng)站代碼搭建好環(huán)境，然后將恢復(fù)出來(lái)的數(shù)據(jù)庫(kù)在搭建好的環(huán)境中進(jìn)行測(cè)試。經(jīng)用戶(hù)測(cè)試后，確認(rèn)數(shù)據(jù)庫(kù)沒(méi)有問(wèn)題。

審核編輯 黃宇