Netapp數據恢復環境&故障情況：
某公司一臺服務器中一共有72塊SAS硬盤。
工作人員誤操作刪除了十幾個lun。需要恢復服務器中的數據。

Netapp數據恢復過程：
1、將故障服務器上磁盤編號后取出。由硬件工程師對所有磁盤進行硬件故障檢測，未發現有硬盤存在物理壞道和其他硬件故障。將所有硬盤以只讀方式做全盤鏡像，鏡像完成后將磁盤根據編號按照原樣還原到原服務器中。后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。

2、服務器數據恢復工程師基于鏡像文件分析所有硬盤底層數據，找到盤頭位置的超級塊，繼續分析超級塊信息得到磁盤組的起始塊信息、磁盤組名稱、邏輯組起始塊號、raid編號等基本信息。
分析超級塊：

北亞企安數據恢復—Netapp數據恢復

3、通過分析得知每個數據塊占8個扇區，數據塊后附加64字節數據塊描述信息。北亞企安數據恢復工程師根據這些信息判斷出是校驗盤的磁盤。恢復數據時需要將校檢盤排除在外。
0x10：6字節為aggr_data塊號
0x10處為FFFF表示校驗塊。
校驗塊描述信息樣例：

北亞企安數據恢復—Netapp數據恢復

4、根據每塊磁盤8號扇區的磁盤信息以及磁盤末尾的RAID盤序表確定盤序。
首先確定各個磁盤所屬aggr組，然后再判斷組內盤序。數據指針跳轉時不考慮校驗盤，所以只取得數據盤的盤序即可。
aggr_raid(磁盤靠近尾部) 根據10H處的VCN塊號判斷磁盤組內各盤的順序。
分析盤序表：

北亞企安數據恢復—Netapp數據恢復

Tips：Netapp的節點分布在數量眾多的數據塊內，在數據塊內又被統一組織為節點組。每個節點組的前64字節記錄一些系統數據，然后用192字節為一項來記錄各個文件節點。根據用戶級別可分為兩類：“MBFP”系統文件節點和“MBFI”用戶文件節點，在數據恢復時一般只取“MBFI”節點組即可。
服務器節點樣例圖：

北亞企安數據恢復—Netapp數據恢復

頭部信息64字節
解析如下：（此頭部為數據文件的節點文件塊頭部，大小為64字節）
標志，常量（“MBFP”為元文件的節點標志，“MBFI”為用戶文件的節點標志）
根據更新序列值獲取到最新節點。

5、解析節點中節點類型、邏輯塊號、文件數量、文件大小、所占塊數量、數據指針。獲取節點在節點文件中的邏輯塊號，從0開始計數。

6、獲取目錄項，并根據其節點編號，找到對應節點。
獲取服務器內對應節點截圖：

北亞企安數據恢復—Netapp數據恢復

7、使用北亞企安自主開發的程序提取服務器數據。
a、掃描節點信息。
掃描服務器節點信息：

北亞企安數據恢復—Netapp數據恢復

節點掃描類：

北亞企安數據恢復—Netapp數據恢復

節點掃描程序完整流程：

北亞企安數據恢復—Netapp數據恢復

在循環掃描完畢之后會將所有掃描到的MBFP、MBFI和DOC數據塊分別寫入到三個文件內，用于后續處理。
b、將節點信息導入到數據庫。
此模塊主要負責將ScanNode掃描得到的MBFI和MBFP、Dir存入數據庫以備后續使用。
MBFI導入數據庫整體流程：

北亞企安數據恢復—Netapp數據恢復

函數執行完畢后可以查看數據庫。
節點導入信息：

北亞企安數據恢復—Netapp數據恢復

Netapp在更改inode節點時不會直接覆蓋而是重新分配inode進行寫入。單個文件的節點node_uid唯一不變，mbfi_usn會隨著節點的變化而增大（正常情況下提取某個文件時使用usn最大的節點）。一般情況下存儲劃分出的單個節點會作為LUN映射到服務器使用，根據file_size可以確定這個文件的大小，按照文件大小分組后再選取usn最大值的節點，跳轉到MBFI文件的offset值偏移位置，取出節點。
節點樣例圖示：

北亞企安數據恢復—Netapp數據恢復

c、提取文件
在獲取到要提取的文件的Node之后，開始提取塊設備文件。
提取塊設備文件：

北亞企安數據恢復—Netapp數據恢復

初始化完畢后，開始提取文件的各級MAP。本次提取過程中文件大小均大于1T，MAP層級為4，所以需要提取4次。第一級MAP默認只占用1個塊，所以在程序內直接提取，后三級MAP在GetAllMap函數內進行提取。通過塊號計算數據塊位置時，由于NetApp使用JBOD組織LVM，直接用塊號除以每塊磁盤上的塊數就可以得到當前塊所在的磁盤序號（計算機整數除法，丟棄小數邠）；再使用塊號取余塊數，得到數據塊在此磁盤上的物理塊號，物理塊號乘以塊大小，得到數據塊偏移位置。

8、塊設備文件系統解析
a、本案例中的塊設備5T大小的lun使用的是aix小機的jfs2文件系統。因此要解析jfs2文件系統，提取里面的數據庫備份文件。解析lvm。
7扇區記錄lvm描述信息，獲取pv大小和pv序號。
類似找到vg描述區，獲取lv數和pv數，找到pv描述區，解析pp序號和pp數。
解析文件系統塊信息：

北亞企安數據恢復—Netapp數據恢復

LV類型及LV掛載信息區域：

北亞企安數據恢復—Netapp數據恢復

b、解析8個1T大小的lun組成的oralce ASM文件系統，提取其中的數據庫文件。
添加8個lT大小的lun。

北亞企安數據恢復—Netapp數據恢復

解析ASM文件系統，提取出數據庫文件。

北亞企安數據恢復—Netapp數據恢復

9、數據恢復工程師對恢復出來的數據進行檢測后沒有發現異常。讓用戶方工程師進行驗證，經過驗證確認恢復出來的數據完整有效。本次netapp數據恢復工作完成。

審核編輯 黃宇