虛擬機(jī)數(shù)據(jù)恢復(fù)環(huán)境：
某品牌服務(wù)器通過同品牌某型號(hào)的RAID卡，將4塊STAT硬盤為一組RAID10陣列。上層部署XenServer虛擬化平臺(tái)，虛擬機(jī)安裝Windows Server系統(tǒng)，每臺(tái)虛擬機(jī)有兩個(gè)虛擬機(jī)磁盤（系統(tǒng)盤 + 數(shù)據(jù)盤），虛擬機(jī)作為Web服務(wù)器使用。

虛擬機(jī)故障&分析：
機(jī)房異常斷電導(dǎo)致服務(wù)器中一臺(tái)VPS（XenServer虛擬機(jī)）不可用，虛擬磁盤文件丟失。
故障服務(wù)器中的XenServer虛擬機(jī)的磁盤是通過LVM管理的。每臺(tái)虛擬機(jī)的虛擬磁盤都是一個(gè)LV，且虛擬磁盤為精簡(jiǎn)模式。LVM的相關(guān)信息在XenServer中都有記載。查看“/etc/lvm/backup/“目錄下關(guān)于LVM的相關(guān)信息，沒有發(fā)現(xiàn)損壞的虛擬磁盤的信息，因此可以判斷出LVM的信息已經(jīng)被更新。只能通過分析底層看是否能找到未被更新的LVM信息，結(jié)果還真在底層發(fā)現(xiàn)了未被更新的LVM信息。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

根據(jù)未被更新的LVM信息定位到虛擬磁盤的數(shù)據(jù)區(qū)域，但是發(fā)現(xiàn)該區(qū)域的數(shù)據(jù)已被破壞。虛擬磁盤被破壞導(dǎo)致虛擬機(jī)操作系統(tǒng)和數(shù)據(jù)丟失。這類情況發(fā)生通常是由于虛擬機(jī)遭遇網(wǎng)絡(luò)攻擊或虛擬機(jī)被入侵后留下的惡意程序造成的。仔細(xì)觀察發(fā)現(xiàn)雖然該區(qū)域中很多數(shù)據(jù)被破壞，但是發(fā)現(xiàn)很多數(shù)據(jù)庫(kù)的頁(yè)碎片，因此可以嘗試將數(shù)據(jù)庫(kù)的頁(yè)碎片拼接成一個(gè)完整可用的數(shù)據(jù)庫(kù)。

虛擬機(jī)數(shù)據(jù)恢復(fù)過程：
1、分析底層，根據(jù)RAR壓縮包的結(jié)構(gòu)找到很多壓縮包的數(shù)據(jù)開始位置。由于RAR壓縮包文件的第一個(gè)扇區(qū)會(huì)記錄此RAR壓縮包文件的文件名，因此可以根據(jù)用戶方提供的備份數(shù)據(jù)庫(kù)的壓縮包文件名匹配目前從壓縮包第一個(gè)扇區(qū)找到的文件名，通過這種方式可以找到備份數(shù)據(jù)庫(kù)壓縮包的開始位置。找到備份數(shù)據(jù)庫(kù)壓縮包的開始位置后，仔細(xì)分析這片區(qū)域的數(shù)據(jù)，然后將此區(qū)域的數(shù)據(jù)恢復(fù)出來重命名為一個(gè)RAR格式的壓縮文件。然后嘗試解壓此壓縮包，但是解壓報(bào)錯(cuò)。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

經(jīng)過數(shù)據(jù)恢復(fù)工程師的分析，確定解壓報(bào)錯(cuò)的原因是部分?jǐn)?shù)據(jù)被破壞了。嘗試使用RAR的修復(fù)工具（設(shè)置為忽略錯(cuò)誤）來解壓數(shù)據(jù)。結(jié)果在解壓出來的數(shù)據(jù)中只找到網(wǎng)站的部分代碼，并沒有找到數(shù)據(jù)庫(kù)的備份文件。因此可以判斷RAR壓縮包中的數(shù)據(jù)庫(kù)備份文件是損壞的。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

2、根據(jù)SQLServer數(shù)據(jù)庫(kù)的結(jié)構(gòu)，在底層分析數(shù)據(jù)庫(kù)的開始位置。SQLServer數(shù)據(jù)庫(kù)的第9個(gè)頁(yè)會(huì)記錄本數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名，因此可以通過用戶方提供的數(shù)據(jù)庫(kù)名稱在底層定位數(shù)據(jù)庫(kù)的開始位置。SQLServer數(shù)據(jù)庫(kù)的每個(gè)頁(yè)都會(huì)記錄數(shù)據(jù)庫(kù)頁(yè)編號(hào)以及文件號(hào)，因此北亞企安數(shù)據(jù)恢復(fù)工程師根據(jù)上述SQLServer數(shù)據(jù)庫(kù)特征編寫程序在底層掃描符合數(shù)據(jù)庫(kù)頁(yè)的數(shù)據(jù)。
將掃描出來的數(shù)據(jù)庫(kù)頁(yè)碎片按照順序重組成一個(gè)完整MDF文件，然后通過MDF校驗(yàn)程序檢測(cè)這個(gè)MDF文件的完整性。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

3、MDF文件檢測(cè)沒問題之后，數(shù)據(jù)恢復(fù)工程師搭建數(shù)據(jù)庫(kù)環(huán)境，將重組的數(shù)據(jù)庫(kù)附加到搭建好的數(shù)據(jù)庫(kù)環(huán)境中。查詢相關(guān)表數(shù)據(jù)是否正常以及最新數(shù)據(jù)是否存在。

北亞企安數(shù)據(jù)恢復(fù)—虛擬機(jī)數(shù)據(jù)恢復(fù)

4、使用用戶方提供的網(wǎng)站代碼搭建好環(huán)境，然后將恢復(fù)好的數(shù)據(jù)庫(kù)結(jié)合網(wǎng)站進(jìn)行驗(yàn)證，一切正常。用戶方認(rèn)可數(shù)據(jù)恢復(fù)結(jié)果。

審核編輯 黃宇