服務(wù)器虛擬化數(shù)據(jù)恢復(fù)環(huán)境：
某品牌720服務(wù)器中有一組通過(guò)同品牌、型號(hào)為H710P的RAID卡+4塊STAT硬盤(pán)組建的RAID10磁盤(pán)陣列。上層部署XenServer虛擬化平臺(tái)。1臺(tái)Windows Server操作系統(tǒng)虛擬機(jī)，該虛擬機(jī)有2塊虛擬磁盤(pán)（系統(tǒng)盤(pán)+數(shù)據(jù)盤(pán)），當(dāng)作網(wǎng)站服務(wù)器使用。

服務(wù)器虛擬化故障：
XenServer虛擬機(jī)不可用，虛擬磁盤(pán)中數(shù)據(jù)丟失。

服務(wù)器虛擬化數(shù)據(jù)恢復(fù)過(guò)程：
1、將故障服務(wù)器中磁盤(pán)標(biāo)記后取出，硬件工程師檢測(cè)后沒(méi)有發(fā)現(xiàn)有硬盤(pán)存在硬件故障。將所有磁盤(pán)以只讀方式進(jìn)行扇區(qū)級(jí)完整鏡像，鏡像完成后將所有磁盤(pán)按照原樣還原到原服務(wù)器中。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對(duì)原始磁盤(pán)數(shù)據(jù)造成二次破壞。
2、基于鏡像文件分析所有硬盤(pán)底層數(shù)據(jù)，發(fā)現(xiàn)XenServer虛擬機(jī)的磁盤(pán)是以LVM來(lái)管理的，即每臺(tái)虛擬機(jī)的虛擬磁盤(pán)都是一個(gè)LV，LVM的相關(guān)信息在XenServer中都有記載。
查看“/etc/lvm/backup/ “目錄下LVM的相關(guān)信息。沒(méi)有發(fā)現(xiàn)損壞的虛擬磁盤(pán)信息，基本上可以判斷LVM信息已經(jīng)被更新。繼續(xù)查找，還是在底層發(fā)現(xiàn)了未被更新的LVM信息。

北亞企安數(shù)據(jù)恢復(fù)—XenServer數(shù)據(jù)恢復(fù)

3、根據(jù)未被更新的LVM信息找到虛擬磁盤(pán)的數(shù)據(jù)區(qū)域，發(fā)現(xiàn)該區(qū)域的數(shù)據(jù)已被破壞。這種情況極有可能是虛擬機(jī)遭遇攻擊后留下惡意程序所造成的。雖然該區(qū)域很多數(shù)據(jù)被破壞，但是在該區(qū)域找到大量數(shù)據(jù)庫(kù)頁(yè)碎片?？梢試L試將數(shù)據(jù)庫(kù)的頁(yè)碎片拼接成一個(gè)可用的數(shù)據(jù)庫(kù)。
4、數(shù)據(jù)庫(kù)之前做過(guò)一次備份。這個(gè)數(shù)據(jù)庫(kù)備份文件和網(wǎng)站代碼一起被壓縮到一個(gè)RAR的壓縮包中，因此只需要恢復(fù)這個(gè)壓縮包即可恢復(fù)這個(gè)備份的數(shù)據(jù)庫(kù)和網(wǎng)站的源代碼。經(jīng)過(guò)嘗試后發(fā)現(xiàn)壓縮包中的數(shù)據(jù)已經(jīng)損壞，解壓報(bào)錯(cuò)。

北亞企安數(shù)據(jù)恢復(fù)—XenServer數(shù)據(jù)恢復(fù)

修復(fù)后也只能解壓出部分網(wǎng)站源代碼，并沒(méi)有解壓出數(shù)據(jù)庫(kù)的備份文件，RAR壓縮包中的數(shù)據(jù)庫(kù)備份文件是損壞的。無(wú)法通過(guò)這種方法恢復(fù)數(shù)據(jù)。

北亞企安數(shù)據(jù)恢復(fù)—XenServer數(shù)據(jù)恢復(fù)

5、根據(jù)SQL Server數(shù)據(jù)庫(kù)的結(jié)構(gòu)在底層分析數(shù)據(jù)庫(kù)的開(kāi)始位置。
SQL Server數(shù)據(jù)庫(kù)中第9個(gè)頁(yè)會(huì)記錄本數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名。在用戶方獲取到數(shù)據(jù)庫(kù)的名稱之后，在底層找到數(shù)據(jù)庫(kù)的開(kāi)始位置。SQL Server數(shù)據(jù)庫(kù)每個(gè)頁(yè)都會(huì)記錄數(shù)據(jù)庫(kù)頁(yè)編號(hào)以及文件號(hào)，根據(jù)這些特征北亞企安數(shù)據(jù)恢復(fù)工程師編寫(xiě)程序在底層掃描符合數(shù)據(jù)庫(kù)頁(yè)的數(shù)據(jù)。
6、將掃描出來(lái)的碎片按順序重組成一個(gè)完整MDF文件，再使用MDF校驗(yàn)程序檢測(cè)MDF文件的完整性。

北亞企安數(shù)據(jù)恢復(fù)—XenServer數(shù)據(jù)恢復(fù)

7、檢測(cè)沒(méi)問(wèn)題之后搭建數(shù)據(jù)庫(kù)環(huán)境。將重組后的數(shù)據(jù)庫(kù)附加到搭建好的數(shù)據(jù)庫(kù)環(huán)境中。查詢相關(guān)表數(shù)據(jù)是否正常，查詢最新數(shù)據(jù)是否存在。

北亞企安數(shù)據(jù)恢復(fù)—XenServer數(shù)據(jù)恢復(fù)

8、從網(wǎng)站開(kāi)發(fā)商拿到了網(wǎng)站代碼搭建好網(wǎng)站環(huán)境，將恢復(fù)出來(lái)的數(shù)據(jù)庫(kù)配置好進(jìn)行驗(yàn)證。經(jīng)過(guò)用戶方驗(yàn)證后，確認(rèn)恢復(fù)出來(lái)的數(shù)據(jù)庫(kù)沒(méi)問(wèn)題。

審核編輯 黃宇