服务器数据恢复-XenServer虚拟机磁盘文件数据恢复案例

服务器数据恢复环境：
某单位一台Dell服务器上使用RAID卡搭建了一组由4盘RAID10。
服务器安装的XenServer虚拟化操作系统，虚拟机采用的Windows Server操作系统。
共系统盘和数据盘两个虚拟机磁盘，上层部署的是Web服务器（ASP + SQLServer架构）。

服务器故障&分析：
由于服务器突然断电，服务器中一台VPS（XenServer虚拟机）不可用，虚拟磁盘文件丢失。
1、将故障服务器中磁盘编号后取出，以只读方式将所有磁盘镜像备份。备份完成后将所有磁盘按照编号还原到原服务器中。后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始数据造成二次破坏。
2、XenServer虚拟机磁盘都是以LVM的结构组织的（每个虚拟机的虚拟磁盘都是一个LV，并且虚拟磁盘的模式为精简模式）。LVM的相关信息记录在XenServer中。北亚企安数据恢复工程师查看“/etc/lvm/backup/“下LVM相关信息，但是没有发现损坏的虚拟磁盘的信息，判断LVM的信息已经更新，继续分析底层查找到未被更新的LVM信息。

北亚企安数据恢复——XenServer虚拟机数据恢复

3、根据未被更新的LVM信息找到虚拟磁盘的数据区域，但该区域的数据已破坏。经过分析确认导致虚拟机不可用的原因：虚拟机的虚拟磁盘被破坏导致虚拟机中的操作系统和数据丢失。这种情况可能是由虚拟机遭遇网络攻击或恶意程序造成的。
4、核对这片区域后，北亚企安数据恢复工程师发现虽然有很多数据被破坏，但存在很多数据库的页碎片，可以尝试将数据库的页碎片拼接成一个可用的数据库。

服务器数据恢复方案：
1、根据RAR压缩包的结构可以找出压缩包的数据开始位置。因为RAR压缩包文件的第一个扇区中会记录此RAR的文件名，所以通过将备份数据库的压缩包文件名和目前找到的压缩包位置的文件名进行匹配的方法找到备份数据库压缩包的开始位置。
2、找到压缩包的位置后分析这片区域的数据，然后将此区域的数据找出来重命名为一个RAR格式的压缩文件。然后尝试解压此压缩包，发现解压报错。

北亚企安数据恢复——XenServer虚拟机数据恢复

解压报错的原因是部分数据被破坏。尝试使用RAR修复工具处理后解压部分数据，结果修复完成后解压出来的的数据只包含网站的部分代码，并没有数据库备份文件，可以初步判断RAR压缩包中的数据库备份文件已经损坏。

北亚企安数据恢复——XenServer虚拟机数据恢复

3、根据SQL Server数据库的结构在底层分析数据库的开始位置。在SQL Server数据库的结构中，通常第9个页会记录数据库名。因此在知道数据库的前提下去分析底层找到此数据库的开始位置。SQL Server数据库的每个页中都会记录数据库页编号和文件号。北亚企安数据恢复工程师根据这些SQL Server数据库特征编写程序在底层扫描符合数据库页的数据。
4、将扫描出来的碎片按顺序重组成一个完整MDF文件，通过MDF校验程序检测整个MDF文件的完整性。

北亚企安数据恢复——XenServer虚拟机数据恢复

5、检测没有发现问题后搭建数据库环境，将重组后的数据库附加到搭建好的数据库环境中。查询相关表数据是否正常，查询最新数据是否存在。经过用户方的查询和反复检测，确认恢复出来的数据完整有效。本次数据恢复工作完成。

北亚企安数据恢复——XenServer虚拟机数据恢复

审核编辑 黄宇