服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
某公司一臺服務(wù)器，使用FreeNAS做iSCSI，借助另外兩臺服務(wù)器做虛擬化系統(tǒng)。此虛擬化系統(tǒng)安裝有5臺虛擬機，其中3臺虛擬機比較重要：一臺虛擬機部署了ASP.net、PHP，安裝了SqlServer和mysql數(shù)據(jù)庫；另一臺安裝的FreeBSD系統(tǒng)并部署了MySQL數(shù)據(jù)庫；一臺虛擬機存儲的是代碼和數(shù)據(jù)。
FreeNAS層采用的是UFS2文件系統(tǒng)；服務(wù)器建一個文件然后掛載到ESXi系統(tǒng)。

服務(wù)器故障：
服務(wù)器意外斷電后重啟，虛擬化系統(tǒng)無法連接服務(wù)器，UFS2文件系統(tǒng)出現(xiàn)問題，管理員試圖修復(fù)文件系統(tǒng)，但是完成修復(fù)后ESXi系統(tǒng)無法識別原有的數(shù)據(jù)和文件系統(tǒng)。

服務(wù)器數(shù)據(jù)恢復(fù)過程：
1、分析本案例的應(yīng)用構(gòu)架層次：FreeNAS(UFS2文件系統(tǒng)–> 一個大的稀疏模式的文件) –> ESXi(VMFS文件系統(tǒng)層) -> 單臺虛擬機的虛擬磁盤 (windows-NTFS文件系統(tǒng)/FreeBSD-UFS2文件系統(tǒng))。
2、對FreeNAS做完整鏡像，基于鏡像文件分析整個存儲，在存儲中只發(fā)現(xiàn)一個文件名為iscsidatade的大文件。
3、根據(jù)UFS2文件系統(tǒng)的二進制結(jié)構(gòu)定位到iscsidata文件的Inode數(shù)據(jù)，發(fā)現(xiàn)iscsidata文件被重建過，inode指針指向的數(shù)據(jù)量很少。
Tips：如果FreeNAS層問題無法解決，就無法進入到下一步的VMFS層分析。
UFS2文件系統(tǒng)相關(guān)信息：
塊大小：16KB
Segment大小：2KB
柱面組大小：188176 KB
UFS2文件系統(tǒng)的一個數(shù)據(jù)指針占用8字節(jié)，一個塊可存儲2048個數(shù)據(jù)指針，一個二級指針塊則可存儲2048*2048*16KB= 64GB的數(shù)據(jù)。一個三級指針塊則可存儲64GB*2048=128TB的數(shù)據(jù)。如果能找到iscsidata文件的三級指針塊就能解決FreeNAS層問題。但iscsidata文件被重建過，估計有部分指針塊已被覆蓋。
原iscsidata文件的inode和新建的iscsidata文件的inode就在同一個位置，嘗試搜索沒有發(fā)現(xiàn)其它有用的inode。北亞企安數(shù)據(jù)恢復(fù)工程師只能編寫程序來收集有用的指針塊：

北亞企安數(shù)據(jù)恢復(fù)——ESXi數(shù)據(jù)恢復(fù)

4、由于該iscsidata文件采用的是稀疏模式，放寬收集條件后收集到了大量的三級指針塊和二級指針塊。經(jīng)過分析后發(fā)現(xiàn)這些收集到的三級指針塊都是無效的，沒有發(fā)現(xiàn)iscsidata文件使用的三級指針塊，估計在新建iscsidata文件時被覆蓋（新的iscsidata文件掛載到ESXi后有個VMFS格式化過程，而 該ESXi版本使用的是GPT分區(qū)，GPT分區(qū)會在磁盤最后寫入冗余的GPT頭和分區(qū)表信息數(shù)據(jù)，會使用iscsidata文件的三級指針塊）。
5、分析收集到的二級指針塊，對有大量二級指針塊的指向數(shù)據(jù)進行DUMP，再從磁盤中的數(shù)據(jù)定位到二級指針，通過這種方式得到大量DUMP的數(shù)據(jù)。
6、VMFS被重新格式化過，原UFS2文件系統(tǒng)的指針已丟失，所以VMFS元文件不可用。只能通過單臺虛擬機層(windows(NTFS)和FreeBSD(UFS2)系統(tǒng)的文件系統(tǒng)結(jié)構(gòu))向上定位到VMFS層，再通過VMFS層定位到DUMP出的單個64GB文件。通過多次組合，最終將三臺重要虛擬機的虛擬磁盤完全恢復(fù)。將恢復(fù)出的網(wǎng)頁數(shù)據(jù)和數(shù)據(jù)庫數(shù)據(jù)上傳到準備好的環(huán)境中，起應(yīng)用后沒有發(fā)現(xiàn)問題。

北亞企安數(shù)據(jù)恢復(fù)——ESXi數(shù)據(jù)恢復(fù)

審核編輯黃宇