虛擬化數(shù)據(jù)恢復(fù)—Hyper-V服務(wù)癱瘓危機(jī):虛擬機(jī)數(shù)據(jù)文件丟失后的數(shù)據(jù)恢復(fù)案例
虛擬化故障:
一臺(tái)服務(wù)器中虛擬機(jī)數(shù)據(jù)文件丟失,hyper-v服務(wù)受到影響,服務(wù)器無(wú)法正常使用。
北亞企安數(shù)據(jù)恢復(fù)中心的硬件工程師對(duì)服務(wù)器進(jìn)行物理故障排查,未發(fā)現(xiàn)服務(wù)器存在物理故障。服務(wù)器數(shù)據(jù)恢復(fù)工程師對(duì)操作系統(tǒng)進(jìn)行檢測(cè)也沒(méi)有發(fā)現(xiàn)問(wèn)題,也無(wú)被攻擊/感染的跡象。對(duì)文件系統(tǒng)進(jìn)行進(jìn)一步分析,發(fā)現(xiàn)元文件創(chuàng)建時(shí)間與數(shù)據(jù)丟失時(shí)間一致,服務(wù)器數(shù)據(jù)恢復(fù)工程師初步確定數(shù)據(jù)丟失的原因是分區(qū)格式化、文件系統(tǒng)重寫。
根據(jù)檢測(cè)結(jié)果繼續(xù)反推數(shù)據(jù)丟失原因,發(fā)現(xiàn)數(shù)據(jù)丟失當(dāng)天及以前日期的系統(tǒng)日志不存在,但服務(wù)日志、審核日志完整,未見(jiàn)破壞痕跡。這進(jìn)一步驗(yàn)證了服務(wù)器數(shù)據(jù)丟失與人為操作有關(guān)。服務(wù)器數(shù)據(jù)恢復(fù)工程師對(duì)系統(tǒng)日志進(jìn)行更深一步的分析,發(fā)現(xiàn)日志文件被覆蓋,無(wú)法恢復(fù)。
虛擬化數(shù)據(jù)恢復(fù)過(guò)程:
1、將故障服務(wù)器上所有數(shù)據(jù)以只讀方式全部鏡像。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行,避免對(duì)原始磁盤數(shù)據(jù)造成二次破壞。
對(duì)底層數(shù)據(jù)進(jìn)行掃描,找到大量未被覆蓋的文件索引、文件系統(tǒng)目錄項(xiàng)等信息。北亞企安數(shù)據(jù)恢復(fù)工程師針對(duì)本案例實(shí)際情況編寫一個(gè)小程序,掃描和提取所有文件索引項(xiàng)。
正常情況下,服務(wù)器的文件索引項(xiàng)固定為1KB,呈連續(xù)分布狀態(tài),每個(gè)文件索引項(xiàng)對(duì)應(yīng)一個(gè)相應(yīng)的目錄(或文件)。但是數(shù)據(jù)恢復(fù)工程師對(duì)提取出來(lái)的文件索引項(xiàng)進(jìn)行分析,發(fā)現(xiàn)這些文件索引項(xiàng)多數(shù)以16或8KB對(duì)齊,呈不連續(xù)且無(wú)規(guī)律狀態(tài)分布。這種情況下是無(wú)法找到所需的文件內(nèi)容的。
2、在所有提取出來(lái)的文件索引項(xiàng)中搜索“VHD”文件記錄,將與之連續(xù)的文件索引項(xiàng)提取出來(lái)。查看這段提取出來(lái)的文件索引項(xiàng)中是否有指向下一段文件索引項(xiàng)的記錄或者是H20屬性。如果有,則根據(jù)文件索引項(xiàng)中的特征去匹配下一段文件索引項(xiàng);如果沒(méi)有,則跳過(guò)這段文件索引項(xiàng)。根據(jù)以上方法基本能查到大多數(shù)的文件索引項(xiàng)片段。缺失的文件索引項(xiàng)片段有可能被破壞了,但是可以從數(shù)據(jù)備份盤中去查找缺失的文件索引項(xiàng)片段。通過(guò)以上方式基本可以搜索到大部分的文件索引項(xiàng),從而拼接成為一個(gè)完整的目錄項(xiàng)結(jié)構(gòu)。
3、將重建好的目錄結(jié)構(gòu)與服務(wù)器原有的文件系統(tǒng)目錄結(jié)構(gòu)進(jìn)行替換,修改部分校驗(yàn)值。使用北亞企安自主開(kāi)發(fā)的工具對(duì)重建的目錄結(jié)構(gòu)進(jìn)行解析和計(jì)算,這時(shí)就可以看到服務(wù)器內(nèi)丟失的數(shù)據(jù)了。
服務(wù)器數(shù)據(jù)恢復(fù)工程師在恢復(fù)出的數(shù)據(jù)中隨機(jī)拷貝出一個(gè)VHD文件,在數(shù)據(jù)恢復(fù)專用服務(wù)器上附加此VHD文件,檢查VHD中的數(shù)據(jù)完整性。
4、經(jīng)初步驗(yàn)證,恢復(fù)出來(lái)的數(shù)據(jù)沒(méi)有發(fā)現(xiàn)異常。在北亞企安數(shù)據(jù)恢復(fù)專用服務(wù)器上搭建一個(gè)新的hyper-v虛擬化環(huán)境,將恢復(fù)出的數(shù)據(jù)導(dǎo)入到虛擬化環(huán)境中。由用戶方管理員對(duì)數(shù)據(jù)恢復(fù)結(jié)果。經(jīng)過(guò)驗(yàn)證,確認(rèn)恢復(fù)出來(lái)的數(shù)據(jù)完整有效。
5、將恢復(fù)出的數(shù)據(jù)遷移回用戶方的hyper-v環(huán)境中并啟動(dòng)虛擬機(jī),所有數(shù)據(jù)正常,本次數(shù)據(jù)恢復(fù)工作完成。
審核編輯 黃宇
-
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
712瀏覽量
18983 -
虛擬機(jī)
+關(guān)注
關(guān)注
1文章
972瀏覽量
30464
發(fā)布評(píng)論請(qǐng)先 登錄
【服務(wù)器數(shù)據(jù)恢復(fù)】多盤掉線RAID6數(shù)據(jù)恢復(fù):基于Reed-Solomon算法的修復(fù)
虛擬機(jī)數(shù)據(jù)恢復(fù)—虛擬機(jī)vmdk文件被刪除的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—EqualLogic存儲(chǔ)硬盤離線導(dǎo)致上層虛擬機(jī)不可用的數(shù)據(jù)恢復(fù)案例
Vsan數(shù)據(jù)恢復(fù)—非正常關(guān)機(jī)導(dǎo)致Vsan分布式存儲(chǔ)架構(gòu)虛擬機(jī)磁盤文件丟失的數(shù)據(jù)恢復(fù)案例
vsan數(shù)據(jù)恢復(fù)—Vsan故障與SQLserver數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)案例
虛擬機(jī)數(shù)據(jù)恢復(fù)—異常斷電致ESXI存儲(chǔ)失聯(lián)?這份實(shí)戰(zhàn)數(shù)據(jù)恢復(fù)案例請(qǐng)收好
服務(wù)器數(shù)據(jù)恢復(fù)—EqualLogic存儲(chǔ)上raid5磁盤陣列數(shù)據(jù)恢復(fù)案例
數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)—MongoDB數(shù)據(jù)庫(kù)文件丟失的數(shù)據(jù)恢復(fù)案例
虛擬化數(shù)據(jù)恢復(fù)—XenServer虛擬化平臺(tái)上VPS不可用的數(shù)據(jù)恢復(fù)案例
Vsan數(shù)據(jù)恢復(fù)——Vsan分布式文件系統(tǒng)上虛擬機(jī)不可用的數(shù)據(jù)恢復(fù)
分布式存儲(chǔ)數(shù)據(jù)恢復(fù)—虛擬機(jī)上hbase和hive數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)案例
數(shù)據(jù)庫(kù)數(shù)據(jù)恢復(fù)——MongoDB數(shù)據(jù)庫(kù)文件拷貝后服務(wù)無(wú)法啟動(dòng)的數(shù)據(jù)恢復(fù)
服務(wù)器數(shù)據(jù)恢復(fù)—raid6陣列硬盤故障導(dǎo)致上層分區(qū)丟失的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—raid5陣列中硬盤壞道導(dǎo)致陣列崩潰的數(shù)據(jù)恢復(fù)案例
虛擬化數(shù)據(jù)恢復(fù)—VMware虛擬化環(huán)境下重裝系統(tǒng)導(dǎo)致服務(wù)器數(shù)據(jù)丟失的數(shù)據(jù)恢復(fù)
工商網(wǎng)監(jiān)
評(píng)論