服務器數(shù)據(jù)恢復環(huán)境：
一臺服務器，虛擬化系統(tǒng)為esxi，上層使用iSCSI的方式實現(xiàn)FC SAN功能，iSCSI通過FreeNAS構(gòu)建。
FreeNAS采用了UFS2文件系統(tǒng)，esxi虛擬化系統(tǒng)里有3臺虛擬機：其中一臺虛擬機安裝FreeBSD系統(tǒng)，存放數(shù)據(jù)庫文件；一臺虛擬機存放網(wǎng)站數(shù)據(jù)；一臺虛擬機安裝Windows server系統(tǒng)，存放數(shù)據(jù)庫數(shù)據(jù)和程序代碼。

服務器故障：
機房供電不穩(wěn)，服務器非正常關機，重啟服務器后發(fā)現(xiàn)ESXI虛擬化系統(tǒng)無法連接存儲。工作人員對服務器進行故障排查，發(fā)現(xiàn)UFS2文件系統(tǒng)出現(xiàn)故障，于是fsck修復UFS2文件系統(tǒng)并將ESXI虛擬化系統(tǒng)連接到存儲上。
檢查文件系統(tǒng)及數(shù)據(jù)，發(fā)現(xiàn)原服務器上的文件系統(tǒng)和數(shù)據(jù)都無法識別。工作人員又將vmfs進行了格式化操作，導致數(shù)據(jù)丟失。

服務器數(shù)據(jù)恢復過程：
1、將服務器所有硬盤編號后取出，經(jīng)過硬件工程師檢測，沒有發(fā)現(xiàn)有硬盤存在物理故障。將所有磁盤以只讀方式進行扇區(qū)級全盤鏡像，鏡像完成后按照編號將所有磁盤還原到原服務器中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析底層數(shù)據(jù)。經(jīng)過分析，北亞企安數(shù)據(jù)恢復工程師發(fā)現(xiàn)了一個被命名為iscsidata的大小為幾百GB的大文件。根據(jù)UFS2文件系統(tǒng)的存儲結(jié)構(gòu)定位到這個大文件的iNode數(shù)據(jù)。
3、查看iNode數(shù)據(jù)發(fā)現(xiàn)iscsidata文件被重建過，iNode指針指向的數(shù)據(jù)量非常少。這種情況下要進入vmfs文件系統(tǒng)層去恢復數(shù)據(jù)就需要先分析出FreeNAS層的必要信息和數(shù)據(jù)。
4、通過分析得到如下信息：
UFS2文件系統(tǒng)塊大小為16kb，segment大小為2kb，柱面組大小為188176kb，數(shù)據(jù)指針大小為8字節(jié)，每個塊可容納數(shù)據(jù)指針數(shù)量為2048個。
通過上面信息計算：一個二級指針塊可存儲的數(shù)據(jù)量=2048*2048*16KB=64GB。三級指針塊可存儲的數(shù)據(jù)量=64GB*2048=128TB。
5、嘗試通過iscsidata文件的三級指針塊來恢復FreeNAS層的數(shù)據(jù)。由于iscsidata文件曾經(jīng)被重建過，部分指針被重建的數(shù)據(jù)所覆蓋，原文件的iNode和重建后的文件的iNode所在的位置完全一致，沒有其他可用于恢復數(shù)據(jù)的iNode數(shù)據(jù)。
6、北亞企安數(shù)據(jù)恢復工程師根據(jù)服務器的實際數(shù)據(jù)情況編寫小程序收集有用的指針塊，通過小程序收集到了大量二級指針塊和三級指針塊。
7、分析三級指針塊后發(fā)現(xiàn)這些指針塊都是無效的，應該是重建iscsidata文件時被覆蓋了。新的iscsidata文件在掛載到ESXi后有個VMFS格式化過程，本案例中的ESXi使用GPT分區(qū)，GPT分區(qū)會在磁盤最后寫入冗余的GPT頭和分區(qū)表信息數(shù)據(jù)，這個過程會使用iscsidata文件的三級指針塊。
8、分析二級指針塊，對有大量二級指針塊的指向數(shù)據(jù)進行DUMP，然后再從磁盤中的數(shù)據(jù)定位到二級指針。通過這種方式獲取到大量DUMP的數(shù)據(jù)。
9、根據(jù)NTFS和UFS2文件系統(tǒng)結(jié)構(gòu)定位到vmfs層，繼而定位到DUMP出的單個64GB文件&組合數(shù)據(jù)。
10、經(jīng)過復雜的查詢和重組操作，最終恢復出3臺虛擬機及虛擬機內(nèi)的全部數(shù)據(jù)。
11、將恢復出來的數(shù)據(jù)上傳到準備好的環(huán)境中進行驗證，經(jīng)過用戶方的仔細驗證，確認所有恢復數(shù)據(jù)完整有效。本次服務器數(shù)據(jù)恢復工作完成。

審核編輯 黃宇