服务器数据恢复—XenServer中VPS不可用的数据恢复案例

服务器数据恢复环境：
某品牌720服务器搭配该品牌某型号RAID卡，使用4块STAT硬盘组建了一组RAID10阵列。服务器上部署XenServer虚拟化平台，系统盘 +数据盘两个虚拟机磁盘。虚拟机上安装的是Windows Server操作系统，作为Web服务器使用，网站使用的是SQLServer数据库。

服务器故障：
服务器意外断电导致XenServer中一台VPS（XenServer虚拟机）不可用，虚拟磁盘文件丢失。

服务器数据恢复过程：
1、将故障服务器中磁盘编号后取出，由硬件工程师检测排除存在硬件故障后，以只读方式将所有磁盘进行扇区级的全盘镜像，镜像完成后将所有磁盘按照编号还原到原服务器中。后续的数据分析和数据恢复操作基于镜像文件进行，避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析底层数据发现XenServer中虚拟机的磁盘都以LVM的结构存放的，即每个虚拟机的虚拟磁盘都是一个LV，虚拟磁盘模式是精简模式。LVM的相关信息在XenServer中有记载，查看LVM的相关信息并没有发现存在损坏的虚拟磁盘信息，由此可以初步判断LVM的信息已经被更新了。继续分析底层查找到未更新的LVM信息。

北亚企安数据恢复——XenServer数据恢复

3、根据未更新的LVM信息找到虚拟磁盘的数据区域，结果发现该区域数据已被破坏。经过分析最终确定导致虚拟机不可用的原因是虚拟机的虚拟磁盘被破坏，虚拟机中的操作系统和数据丢失。这种情况可能是虚拟机遭遇网络攻击或hack入侵导致的。北亚企安数据恢复工程师仔细核对这片区域后发现，虽然该区域很多数据被破坏，但是能找到大量的数据库的页碎片。可以尝试将这些数据库的页碎片拼接成一个可用的数据库。
实施方案A：
根据RAR压缩包的结构找到压缩包的数据开始位置，RAR压缩包文件的第一个扇区中会记录此RAR的文件名。将从用户方获取到的数据库压缩包文件名和目前找到的压缩包位置的文件名相匹配，即可找到备份数据库压缩包的开始位置。找到备份数据库压缩包的位置后分析这片区域的数据，然后将此区域的数据恢复出来重命名为一个RAR格式的压缩文件。尝试解压此压缩包，发现解压报错。

北亚企安数据恢复——XenServer数据恢复

经过分析发现恢复出来的压缩包中有部分数据被破坏，所以导致解压报错。尝试使用RAR修复工具解压部分数据，修复完成之后，在解压的数据中只找到网站的部分代码，而没有找到数据库的备份文件，因此判断RAR压缩包中数据库的备份文件已经被损坏。

北亚企安数据恢复——XenServer数据恢复

实施方案B：
根据SQLServer数据库结构在底层分析数据库的开始位置。在SQLServer数据库的结构中，第9个页会记录本数据库的数据库名。从用户方获取到数据库的名称后，北亚企安数据恢复工程师分析底层找到此数据库的开始位置。SQLServer数据库的每个页中都会记录数据库页编号以及文件号，根据这些特征北亚企安数据恢复工程师编写程序在底层扫描符合数据库页的数据。将扫描出来的碎片按顺序重组成一个完整MDF文件，再通过MDF校验程序检测整个MDF文件的完整性。

北亚企安数据恢复——XenServer数据恢复

4、检测没有发现问题后，由数据库工程师搭建数据库环境，将重组后的数据库附加到搭建好的数据库环境中，查询相关表数据是否正常以及最新数据是否存在。

5、由用户方从网站程序开发商获取网站代码搭建好环境并配置好数据库进行验证。经过用户仔细验证，没有发现数据库存在问题，本次数据恢复工作完成。

审核编辑 黄宇