服務器數據恢復環境：
一臺某品牌服務器通過一張同品牌某型號RAID卡將4塊STAT硬盤組建為一組RAID10陣列。上層部署Xen Server虛擬化平臺，虛擬機上安裝的是Windows Server操作系統，包括系統盤 +數據盤兩個虛擬機磁盤，作為Web服務器使用，存放網站代碼、SQL Server數據庫以及其他網站數據。

服務器故障&故障原因分析：
機房意外斷電導致服務器中一臺VPS（Xen Server虛擬機）不可用，虛擬磁盤文件丟失。
北亞企安數據恢復工程師將故障服務器中所有磁盤編號后取出，以只讀方式將所有磁盤完整鏡像到準備好的備份空間，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。備份完成后將所有磁盤按照編號還原到原服務器中。
基于鏡像文件分析底層數據發現故障服務器中的虛擬機磁盤是以LVM結構管理的，即每個虛擬機的虛擬磁盤都是一個LV，虛擬磁盤模式是精簡模式。
LVM的相關信息在Xen Server中都有記載。查看“/etc/lvm/backup/“下LVM的相關信息，并沒有發現存在損壞的虛擬磁盤，可以初步判斷LVM的信息已經被更新了。繼續分析底層，查找到還未更新的LVM信息。

北亞企安數據恢復——Xen server數據恢復

根據未更新的LVM信息找到虛擬磁盤的數據區域，發現該區域的數據已被破壞。現在可以確定虛擬機不可用的原因是虛擬機的虛擬磁盤被破壞，導致虛擬機中的操作系統和數據丟失。核對這片區域，發現該區域有很多數據被破壞了，但還是發現了很多數據庫的頁碎片。因此可以嘗試將許多數據庫的頁碎片拼接為一個可用的數據庫。

服務器數據恢復方案：
方案a：根據RAR壓縮包的結構可以找到很多壓縮包的數據開始位置，RAR壓縮包文件的第一個扇區中會記錄此RAR的文件名。因此將從用戶那里拿到的備份數據庫的壓縮包文件名和目前找到的壓縮包文件第一個扇區所記錄的文件名相匹配，即可找到備份數據庫壓縮包的開始位置。找到壓縮包的位置后仔細分析這片區域的數據，然后將此區域的數據恢復出來并重命名為一個RAR格式的壓縮文件。嘗試解壓此壓縮包，發現解壓報錯。

北亞企安數據恢復——Xen server數據恢復

仔細分析恢復出來的壓縮包，發現其中有部分數據被破壞，解壓報錯。嘗試使用RAR的修復工具處理后解壓。結果修復完成之后解壓出來的數據只包含網站的部分代碼，并沒有發現數據庫的備份文件。因此可以判斷在RAR壓縮包中的數據庫的備份文件已經是損壞的。
解壓出來的部分網站代碼：

北亞企安數據恢復——Xen server數據恢復

方案b：
方案a沒有將數據庫恢復出來。北亞企安數據恢復工程師采用方案b。根據SQL Server數據庫的結構分析數據庫的開始位置。SQL Server數據庫第9個頁會記錄本數據庫的數據庫名。在用戶那里獲取到數據庫的名稱之后，分析底層找到此數據庫的開始位置。在SQL Server數據庫的每個頁中都會記錄數據庫頁編號以及文件號，根據這些SQL Server數據庫特征，北亞企安數據恢復工程師編寫程序去底層掃描符合數據庫頁的數據。將掃描出來的數據庫頁碎片按順序重組成一個完整MDF文件。通過MDF校驗程序檢測整個MDF文件的完整性。

北亞企安數據恢復——Xen server數據恢復

驗證數據：
檢測沒問題之后，由數據庫工程師搭建數據庫環境，將重組后的數據庫附加到搭建好的數據庫環境中。查詢相關表數據是否正常以及最新數據是否存在。檢測沒有問題后，在網站開發商的幫助下用網站代碼搭建好環境，將恢復好的數據庫發給用戶在環境中配置好。經過用戶驗證后沒有發現問題，確認恢復數據完整有效。本次數據恢復工作完成。

北亞企安數據恢復——Xen server數據恢復

審核編輯 黃宇