虛擬化數(shù)據(jù)恢復(fù)環(huán)境：
一臺服務(wù)器上部署的Hyper-V虛擬化平臺，虛擬機(jī)的硬盤文件和配置文件放在一臺某品牌MD3200存儲中。該存儲中有一組由4塊硬盤組建的raid5磁盤陣列，還有一塊大容量硬盤存放虛擬機(jī)數(shù)據(jù)文件的備份。

虛擬化故障：
MD3200存儲中虛擬機(jī)數(shù)據(jù)文件丟失，導(dǎo)致Hyper-V服務(wù)癱瘓，虛擬機(jī)無法使用。

虛擬化故障分析：
1、檢測MD3200存儲是否存在物理故障，經(jīng)過檢測沒有發(fā)現(xiàn)存儲存在任何物理故障，硬盤均正常工作。
2、檢查操作系統(tǒng)，未發(fā)現(xiàn)出錯進(jìn)程，排除因操作系統(tǒng)問題導(dǎo)致的數(shù)據(jù)丟失。
3、分析丟失數(shù)據(jù)硬盤的文件系統(tǒng)，文件系統(tǒng)打開正常，不符合病毒破壞的表現(xiàn)。使用多款殺毒軟件檢測無病毒。分析丟失數(shù)據(jù)硬盤的文件系統(tǒng)，發(fā)現(xiàn)文件系統(tǒng)的元文件創(chuàng)建時間（也就是文件系統(tǒng)的創(chuàng)建時間）與數(shù)據(jù)丟失的時間剛好一樣。這種表現(xiàn)通常意味著文件系統(tǒng)被人為重寫，即分區(qū)被格式化了。
4、檢查系統(tǒng)日志，發(fā)現(xiàn)數(shù)據(jù)丟失時間之前以及數(shù)據(jù)丟失當(dāng)天的系統(tǒng)日志已被清空，審核日志和服務(wù)日志卻未清空。這種情況應(yīng)該是人為操作，格式化分區(qū)的操作只記錄在系統(tǒng)日志中，這與人為破壞的表現(xiàn)相符。
5、嘗試恢復(fù)系統(tǒng)日志。分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無法恢復(fù)。
6、分析操作系統(tǒng)中的所有分區(qū)。發(fā)現(xiàn)只有存儲中兩個分區(qū)的文件系統(tǒng)被重新寫入文件系統(tǒng)。格式化兩個分區(qū)需要兩個獨(dú)立的過程，這種針對性的操作基本上是人為的。

重現(xiàn)格式化操作：
1、通過在分區(qū)上“右鍵”，選擇“格式化”按鈕，可以格式化選中的分區(qū)。
2、在開始菜單“運(yùn)行”中輸入“cmd”命令進(jìn)入到命令行模式，然后使用FORMAT命令，可以格式化指定分區(qū)。
3、創(chuàng)建一個bat文件，在文件中寫入格式化的命令，然后運(yùn)行bat文件可以格式化指定分區(qū)。
4、因?yàn)橛袃蓚€獨(dú)立的文件系統(tǒng)的數(shù)據(jù)丟失，故上述的流程可能被執(zhí)行了多次。應(yīng)該因人為操作導(dǎo)致。

虛擬化數(shù)據(jù)恢復(fù)方案：
根據(jù)前期的故障分析，北亞企安數(shù)據(jù)恢復(fù)工程師團(tuán)隊(duì)敲定數(shù)據(jù)恢復(fù)方案：
1、備份數(shù)據(jù)，對丟失數(shù)據(jù)的硬盤做全盤備份。
2、分析硬盤底層數(shù)據(jù)，重組RAID陣列。
3、分析重組的陣列，看能否找到原始文件索引項(xiàng)及對應(yīng)的數(shù)據(jù)區(qū)。
4、核對查找到的文件索引項(xiàng)是否符合用戶丟失的數(shù)據(jù)，并核對相應(yīng)的數(shù)據(jù)區(qū)有無破壞。
5、將掃描到的文件索引項(xiàng)碎片拼接成一個完整的目錄結(jié)構(gòu)。
6、根據(jù)拼接好的目錄結(jié)構(gòu)去底層恢復(fù)對應(yīng)的數(shù)據(jù)，并檢查數(shù)據(jù)的正確性。
7、核對數(shù)據(jù)沒問題后恢復(fù)所有數(shù)據(jù)。

虛擬化數(shù)據(jù)恢復(fù)方案實(shí)施：
1、將Dell M3200存儲中所有的硬盤編號后取出，由硬件工程師檢測硬盤是否存在物理故障。經(jīng)過檢測沒有發(fā)現(xiàn)有硬盤存在物理故障。以只讀方式將每塊硬盤做扇區(qū)級全盤鏡像。鏡像完成后將所有磁盤按照編號還原到原存儲中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對原始磁盤數(shù)據(jù)造成二次破壞。
備份硬盤數(shù)據(jù)：

Hyper-V數(shù)據(jù)恢復(fù)

2、基于鏡像文件分析所有硬盤上的底層數(shù)據(jù)。通過分析獲取重組RAID5陣列的raid相關(guān)信息，如：條帶大小，條帶走向等。根據(jù)獲取到的raid信息重組RAID。
重組RAID：

Hyper-V數(shù)據(jù)恢復(fù)

打開硬盤陣列：

Hyper-V數(shù)據(jù)恢復(fù)

3、分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中還殘留著許多原始文件系統(tǒng)的目錄項(xiàng)及文件索引。經(jīng)過核對發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。北亞企安數(shù)據(jù)恢復(fù)工程師編寫一個提取文件索引項(xiàng)的小程序，掃描整個硬盤中所有存在的文件索引項(xiàng)，提取所有文件的文件索引項(xiàng)。
4、分析所有掃描到的文件索引項(xiàng)，發(fā)現(xiàn)這些索引項(xiàng)都是不連續(xù)的，大多以16K或8K對齊的。正常情況下的文件索引項(xiàng)是連續(xù)的，大小為固定的1K，每個文件索引項(xiàng)對應(yīng)一個文件或目錄。而掃描出來的這些不連續(xù)且不完整的文件索引項(xiàng)無法正常索引到文件的內(nèi)容。因此需要對掃描出來的文件索引項(xiàng)做加工處理。
在掃描出來的文件索引項(xiàng)中搜索” .VHD”，能找到一個” .VHD”的文件記錄，然后將這段文件索引項(xiàng)提取出來。查看這段提取出來的文件索引項(xiàng)中是否有指向下一段文件索引項(xiàng)的記錄或者是H20屬性，如果有則根據(jù)文件索引項(xiàng)中的特征去匹配下一段文件索引項(xiàng)，如果沒有則跳過這段文件索引項(xiàng)。
根據(jù)上述方法基本能查到大多數(shù)的文件索引項(xiàng)片段。而缺失的文件索引項(xiàng)片段則有可能被破壞了。可以考慮從備份盤中去查找缺失的文件索引項(xiàng)片段，因此可以搜索到大部分的文件索引項(xiàng)。
文件索引項(xiàng)截圖：

Hyper-V數(shù)據(jù)恢復(fù)

5、根據(jù)上述方法盡可能找到所有的文件索引項(xiàng)，然后根據(jù)文件索引項(xiàng)的編號將其拼接成整個目錄項(xiàng)結(jié)構(gòu)。由于有部分文件索引項(xiàng)被破壞，只能找到大部分文件索引項(xiàng)，但這些文件索引項(xiàng)已經(jīng)足以拼接成整個目錄結(jié)構(gòu)了。
掃描到的文件索引項(xiàng)碎片：

Hyper-V數(shù)據(jù)恢復(fù)

6、將拼接好的目錄結(jié)構(gòu)替換現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)，使用工具修改部分校驗(yàn)值，再使用專業(yè)工具解釋這個目錄結(jié)構(gòu)即可看到原有丟失的數(shù)據(jù)了。
解釋出來的目錄結(jié)構(gòu)：

Hyper-V數(shù)據(jù)恢復(fù) Hyper-V數(shù)據(jù)恢復(fù)

7、為了確定數(shù)據(jù)是否正確，將其中一個最新的VHD文件恢復(fù)出來，然后將其拷貝到一臺支持附加VHD的服務(wù)器上，嘗試附加此VHD，結(jié)果附加成功。檢查VHD中最新的數(shù)據(jù)是否完整，檢查完整后將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。
恢復(fù)出來的所有虛擬機(jī)數(shù)據(jù)文件：

Hyper-V數(shù)據(jù)恢復(fù)

8、在一臺測試服務(wù)器上搭建Hyper-V的環(huán)境，將恢復(fù)出來的虛擬機(jī)文件連接到這臺服務(wù)器。通過導(dǎo)入虛擬機(jī)的方式，將恢復(fù)出來的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境中。然后讓用戶方驗(yàn)證所有虛擬機(jī)是否完整。
導(dǎo)入虛擬機(jī)：

Hyper-V數(shù)據(jù)恢復(fù) Hyper-V數(shù)據(jù)恢復(fù)

9、在用戶方驗(yàn)證所有虛擬機(jī)沒問題后，將所有數(shù)據(jù)拷貝至用戶方準(zhǔn)備好的服務(wù)器中。通過導(dǎo)入的方式將虛擬機(jī)導(dǎo)入到用戶方的Hyper-V環(huán)境中，但是在導(dǎo)入的過程中出現(xiàn)錯誤。

Hyper-V數(shù)據(jù)恢復(fù)

經(jīng)過查找資料和分析，確定出錯原因是導(dǎo)入的方法不正確，需要以下面的方式導(dǎo)入虛擬機(jī)。

Hyper-V數(shù)據(jù)恢復(fù)

重新導(dǎo)入后沒有報錯。

Hyper-V數(shù)據(jù)恢復(fù)

嘗試啟動所有虛擬機(jī)，所有虛擬機(jī)啟動都沒問題。

Hyper-V數(shù)據(jù)恢復(fù)

10、用戶方對所有虛擬機(jī)中的數(shù)據(jù)進(jìn)行檢測后，確認(rèn)恢復(fù)出來的數(shù)據(jù)完整有效，認(rèn)可數(shù)據(jù)恢復(fù)結(jié)果。