一、服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境

本次需要進(jìn)行數(shù)據(jù)恢復(fù)的設(shè)備為一臺(tái)服務(wù)器，該服務(wù)器通過(guò)FreeNAS提供iSCSI塊存儲(chǔ)服務(wù)，并借助另外兩臺(tái)服務(wù)器構(gòu)建虛擬化系統(tǒng)。在FreeNAS層面采用的是UFS2文件系統(tǒng)，整個(gè)服務(wù)器創(chuàng)建了一個(gè)文件并掛載給ESXi5.0系統(tǒng)。在這個(gè)虛擬化系統(tǒng)中，共有5臺(tái)虛擬機(jī)。其中一臺(tái)虛擬機(jī)采用ASP.net和PHP混合構(gòu)架，使用SqlServer2005和MySQL5.1兩個(gè)數(shù)據(jù)庫(kù);另一臺(tái)虛擬機(jī)為FreeBSD系統(tǒng)，使用MySQL數(shù)據(jù)庫(kù);還有一臺(tái)虛擬機(jī)存儲(chǔ)的是代碼數(shù)據(jù)。這三臺(tái)虛擬機(jī)的數(shù)據(jù)是本次服務(wù)器數(shù)據(jù)恢復(fù)的重點(diǎn)。

二、服務(wù)器故障

該服務(wù)器在正常運(yùn)行過(guò)程中意外斷電，重啟后虛擬化系統(tǒng)無(wú)法連接服務(wù)器。經(jīng)檢查，發(fā)現(xiàn)FreeNAS中的UFS2文件系統(tǒng)出現(xiàn)問(wèn)題。服務(wù)器管理員對(duì)文件系統(tǒng)進(jìn)行了修復(fù)，但ESXI系統(tǒng)無(wú)法識(shí)別原有數(shù)據(jù)和文件系統(tǒng)。在此情況下，管理員聯(lián)系北亞數(shù)據(jù)恢復(fù)中心要求恢復(fù)服務(wù)器數(shù)據(jù)。

三、服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程

1、應(yīng)用構(gòu)架層次分析

本案例應(yīng)用構(gòu)架：FreeNAS(UFS2文件系統(tǒng)–>一個(gè)大的稀疏模式的文件)–>ESXi5.0(VMFS文件系統(tǒng)層)->單臺(tái)虛擬機(jī)的虛擬磁盤(windows-NTFS文件系統(tǒng)/FreeBSD-UFS2文件系統(tǒng))。

2、FreeNAS層鏡像與分析

對(duì)FreeNAS層進(jìn)行鏡像操作，隨后分析整個(gè)存儲(chǔ)，發(fā)現(xiàn)僅有一個(gè)名為iscsidata的大文件。北亞企安數(shù)據(jù)恢復(fù)工程師通過(guò)UFS2文件系統(tǒng)的二進(jìn)制結(jié)構(gòu)，定位到iscsidata文件的Inode數(shù)據(jù)，發(fā)現(xiàn)此文件已被重建，inode指針指向的數(shù)據(jù)量極少。若FreeNAS層的問(wèn)題無(wú)法解決，后續(xù)的VMFS層分析將無(wú)法開展。

3、UFS2文件系統(tǒng)重要結(jié)構(gòu)收集

收集UFS2文件系統(tǒng)的重要結(jié)構(gòu)參數(shù)：

塊大小：16KB

Segment大小：2KB

柱面組大小：188176KB

UFS2一個(gè)數(shù)據(jù)指針占8字節(jié)，一個(gè)塊可存儲(chǔ)2048個(gè)數(shù)據(jù)指針。一個(gè)二級(jí)指針塊可存儲(chǔ)2048*2048*16KB=64GB數(shù)據(jù)，一個(gè)三級(jí)指針塊可存儲(chǔ)64GB*2048=128TB數(shù)據(jù)。

若能找到iscsidata文件的三級(jí)指針塊，即可解決FreeNAS層問(wèn)題。但由于iscsidata文件已重建，過(guò)程和大小與原始情況一致，推測(cè)部分指針塊已被覆蓋。原始iscsidata文件的inode和新建的iscsidata文件的inode處于同一位置，經(jīng)搜索未發(fā)現(xiàn)其他有用的inode。因此，北亞企安數(shù)據(jù)恢復(fù)工程師只能編寫程序收集有用的指針塊。

北亞企安數(shù)據(jù)恢復(fù)—FreeNAS數(shù)據(jù)恢復(fù)

4、指針塊分析

由于iscsidata文件采用稀疏模式，收集條件只能放寬，最終收集到大量三級(jí)指針塊和二級(jí)指針塊。對(duì)收集到的所有三級(jí)指針塊進(jìn)行分析，均為無(wú)效塊，未發(fā)現(xiàn)iscsidata文件使用的三級(jí)指針塊。服務(wù)器數(shù)據(jù)恢復(fù)工程師推測(cè)在新建iscsidata文件時(shí)被新數(shù)據(jù)覆蓋(新的iscsidata文件在掛載到ESXi5.0后有個(gè)VMFS格式化過(guò)程，而ESXi5.0使用GUID Partition Table分區(qū)，GUID Partition Table分區(qū)會(huì)在磁盤最后寫入冗余的GUID Partition Table頭和分區(qū)表信息數(shù)據(jù)，從而使用了iscsidata文件的三級(jí)指針塊)。

因此，北亞企安數(shù)據(jù)恢復(fù)工程師只能對(duì)收集到的二級(jí)指針塊進(jìn)行分析，對(duì)大量二級(jí)指針塊指向的數(shù)據(jù)進(jìn)行DUMP，然后從磁盤中的數(shù)據(jù)定位到二級(jí)指針，得到大量DUMP數(shù)據(jù)。

5、VMFS層分析

由于VMFS已被重格式化，原始UFS2的指針丟失，導(dǎo)致VMFS元文件基本不可用，缺乏重要參考信息。所幸虛擬機(jī)均無(wú)快照，數(shù)據(jù)仍可恢復(fù)。通過(guò)單臺(tái)虛擬機(jī)層(windows(NTFS)和FreeBSD(UFS2)系統(tǒng)的文件系統(tǒng)結(jié)構(gòu))，向上定位到VMFS層，再通過(guò)VMFS層定位到DUMP出的單個(gè)64GB文件，經(jīng)過(guò)多次組合，北亞企安數(shù)據(jù)恢復(fù)工程師成功完全恢復(fù)了這三臺(tái)重要虛擬機(jī)的虛擬磁盤。將恢復(fù)出的網(wǎng)頁(yè)數(shù)據(jù)和數(shù)據(jù)庫(kù)數(shù)據(jù)上傳到新構(gòu)建的系統(tǒng)中，應(yīng)用正常拉起，數(shù)據(jù)完整無(wú)誤。

6、經(jīng)過(guò)用戶方的仔細(xì)檢測(cè)后，確認(rèn)3臺(tái)重要虛擬機(jī)中的數(shù)據(jù)成功恢復(fù)，認(rèn)可本次數(shù)據(jù)恢復(fù)結(jié)果。本次服務(wù)器數(shù)據(jù)恢復(fù)工作完成。

北亞企安數(shù)據(jù)恢復(fù)—FreeNAS數(shù)據(jù)恢復(fù)