服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
某品牌720服務(wù)器搭配該品牌某型號(hào)RAID卡，使用4塊STAT硬盤(pán)組建了一組RAID10陣列。服務(wù)器上部署XenServer虛擬化平臺(tái)，系統(tǒng)盤(pán) +數(shù)據(jù)盤(pán)兩個(gè)虛擬機(jī)磁盤(pán)。虛擬機(jī)上安裝的是Windows Server操作系統(tǒng)，作為Web服務(wù)器使用，網(wǎng)站使用的是SQLServer數(shù)據(jù)庫(kù)。

服務(wù)器故障：
服務(wù)器意外斷電導(dǎo)致XenServer中一臺(tái)VPS（XenServer虛擬機(jī)）不可用，虛擬磁盤(pán)文件丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程：
1、將故障服務(wù)器中磁盤(pán)編號(hào)后取出，由硬件工程師檢測(cè)排除存在硬件故障后，以只讀方式將所有磁盤(pán)進(jìn)行扇區(qū)級(jí)的全盤(pán)鏡像，鏡像完成后將所有磁盤(pán)按照編號(hào)還原到原服務(wù)器中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作基于鏡像文件進(jìn)行，避免對(duì)原始磁盤(pán)數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析底層數(shù)據(jù)發(fā)現(xiàn)XenServer中虛擬機(jī)的磁盤(pán)都以LVM的結(jié)構(gòu)存放的，即每個(gè)虛擬機(jī)的虛擬磁盤(pán)都是一個(gè)LV，虛擬磁盤(pán)模式是精簡(jiǎn)模式。LVM的相關(guān)信息在XenServer中有記載，查看LVM的相關(guān)信息并沒(méi)有發(fā)現(xiàn)存在損壞的虛擬磁盤(pán)信息，由此可以初步判斷LVM的信息已經(jīng)被更新了。繼續(xù)分析底層查找到未更新的LVM信息。

北亞企安數(shù)據(jù)恢復(fù)——XenServer數(shù)據(jù)恢復(fù)

3、根據(jù)未更新的LVM信息找到虛擬磁盤(pán)的數(shù)據(jù)區(qū)域，結(jié)果發(fā)現(xiàn)該區(qū)域數(shù)據(jù)已被破壞。經(jīng)過(guò)分析最終確定導(dǎo)致虛擬機(jī)不可用的原因是虛擬機(jī)的虛擬磁盤(pán)被破壞，虛擬機(jī)中的操作系統(tǒng)和數(shù)據(jù)丟失。這種情況可能是虛擬機(jī)遭遇網(wǎng)絡(luò)攻擊或hack入侵導(dǎo)致的。北亞企安數(shù)據(jù)恢復(fù)工程師仔細(xì)核對(duì)這片區(qū)域后發(fā)現(xiàn)，雖然該區(qū)域很多數(shù)據(jù)被破壞，但是能找到大量的數(shù)據(jù)庫(kù)的頁(yè)碎片。可以嘗試將這些數(shù)據(jù)庫(kù)的頁(yè)碎片拼接成一個(gè)可用的數(shù)據(jù)庫(kù)。
實(shí)施方案A：
根據(jù)RAR壓縮包的結(jié)構(gòu)找到壓縮包的數(shù)據(jù)開(kāi)始位置，RAR壓縮包文件的第一個(gè)扇區(qū)中會(huì)記錄此RAR的文件名。將從用戶方獲取到的數(shù)據(jù)庫(kù)壓縮包文件名和目前找到的壓縮包位置的文件名相匹配，即可找到備份數(shù)據(jù)庫(kù)壓縮包的開(kāi)始位置。找到備份數(shù)據(jù)庫(kù)壓縮包的位置后分析這片區(qū)域的數(shù)據(jù)，然后將此區(qū)域的數(shù)據(jù)恢復(fù)出來(lái)重命名為一個(gè)RAR格式的壓縮文件。嘗試解壓此壓縮包，發(fā)現(xiàn)解壓報(bào)錯(cuò)。

北亞企安數(shù)據(jù)恢復(fù)——XenServer數(shù)據(jù)恢復(fù)

經(jīng)過(guò)分析發(fā)現(xiàn)恢復(fù)出來(lái)的壓縮包中有部分?jǐn)?shù)據(jù)被破壞，所以導(dǎo)致解壓報(bào)錯(cuò)。嘗試使用RAR修復(fù)工具解壓部分?jǐn)?shù)據(jù)，修復(fù)完成之后，在解壓的數(shù)據(jù)中只找到網(wǎng)站的部分代碼，而沒(méi)有找到數(shù)據(jù)庫(kù)的備份文件，因此判斷RAR壓縮包中數(shù)據(jù)庫(kù)的備份文件已經(jīng)被損壞。

北亞企安數(shù)據(jù)恢復(fù)——XenServer數(shù)據(jù)恢復(fù)

實(shí)施方案B：
根據(jù)SQLServer數(shù)據(jù)庫(kù)結(jié)構(gòu)在底層分析數(shù)據(jù)庫(kù)的開(kāi)始位置。在SQLServer數(shù)據(jù)庫(kù)的結(jié)構(gòu)中，第9個(gè)頁(yè)會(huì)記錄本數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名。從用戶方獲取到數(shù)據(jù)庫(kù)的名稱后，北亞企安數(shù)據(jù)恢復(fù)工程師分析底層找到此數(shù)據(jù)庫(kù)的開(kāi)始位置。SQLServer數(shù)據(jù)庫(kù)的每個(gè)頁(yè)中都會(huì)記錄數(shù)據(jù)庫(kù)頁(yè)編號(hào)以及文件號(hào)，根據(jù)這些特征北亞企安數(shù)據(jù)恢復(fù)工程師編寫(xiě)程序在底層掃描符合數(shù)據(jù)庫(kù)頁(yè)的數(shù)據(jù)。將掃描出來(lái)的碎片按順序重組成一個(gè)完整MDF文件，再通過(guò)MDF校驗(yàn)程序檢測(cè)整個(gè)MDF文件的完整性。

北亞企安數(shù)據(jù)恢復(fù)——XenServer數(shù)據(jù)恢復(fù)

4、檢測(cè)沒(méi)有發(fā)現(xiàn)問(wèn)題后，由數(shù)據(jù)庫(kù)工程師搭建數(shù)據(jù)庫(kù)環(huán)境，將重組后的數(shù)據(jù)庫(kù)附加到搭建好的數(shù)據(jù)庫(kù)環(huán)境中，查詢相關(guān)表數(shù)據(jù)是否正常以及最新數(shù)據(jù)是否存在。

5、由用戶方從網(wǎng)站程序開(kāi)發(fā)商獲取網(wǎng)站代碼搭建好環(huán)境并配置好數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。經(jīng)過(guò)用戶仔細(xì)驗(yàn)證，沒(méi)有發(fā)現(xiàn)數(shù)據(jù)庫(kù)存在問(wèn)題，本次數(shù)據(jù)恢復(fù)工作完成。

審核編輯 黃宇