虚拟化数据恢复—Hyper-V服务瘫痪危机：虚拟机数据文件丢失后的数据恢复案例

虚拟化故障：
一台服务器中虚拟机数据文件丢失，hyper-v服务受到影响，服务器无法正常使用。
北亚企安数据恢复中心的硬件工程师对服务器进行物理故障排查，未发现服务器存在物理故障。服务器数据恢复工程师对操作系统进行检测也没有发现问题，也无被攻击/感染的迹象。对文件系统进行进一步分析，发现元文件创建时间与数据丢失时间一致，服务器数据恢复工程师初步确定数据丢失的原因是分区格式化、文件系统重写。
根据检测结果继续反推数据丢失原因，发现数据丢失当天及以前日期的系统日志不存在，但服务日志、审核日志完整，未见破坏痕迹。这进一步验证了服务器数据丢失与人为操作有关。服务器数据恢复工程师对系统日志进行更深一步的分析，发现日志文件被覆盖，无法恢复。

虚拟化数据恢复过程：
1、将故障服务器上所有数据以只读方式全部镜像。后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。
对底层数据进行扫描，找到大量未被覆盖的文件索引、文件系统目录项等信息。北亚企安数据恢复工程师针对本案例实际情况编写一个小程序，扫描和提取所有文件索引项。
正常情况下，服务器的文件索引项固定为1KB，呈连续分布状态，每个文件索引项对应一个相应的目录（或文件）。但是数据恢复工程师对提取出来的文件索引项进行分析，发现这些文件索引项多数以16或8KB对齐，呈不连续且无规律状态分布。这种情况下是无法找到所需的文件内容的。
2、在所有提取出来的文件索引项中搜索“VHD”文件记录，将与之连续的文件索引项提取出来。查看这段提取出来的文件索引项中是否有指向下一段文件索引项的记录或者是H20属性。如果有，则根据文件索引项中的特征去匹配下一段文件索引项；如果没有，则跳过这段文件索引项。根据以上方法基本能查到大多数的文件索引项片段。缺失的文件索引项片段有可能被破坏了，但是可以从数据备份盘中去查找缺失的文件索引项片段。通过以上方式基本可以搜索到大部分的文件索引项，从而拼接成为一个完整的目录项结构。
3、将重建好的目录结构与服务器原有的文件系统目录结构进行替换，修改部分校验值。使用北亚企安自主开发的工具对重建的目录结构进行解析和计算，这时就可以看到服务器内丢失的数据了。
服务器数据恢复工程师在恢复出的数据中随机拷贝出一个VHD文件，在数据恢复专用服务器上附加此VHD文件，检查VHD中的数据完整性。
4、经初步验证，恢复出来的数据没有发现异常。在北亚企安数据恢复专用服务器上搭建一个新的hyper-v虚拟化环境，将恢复出的数据导入到虚拟化环境中。由用户方管理员对数据恢复结果。经过验证，确认恢复出来的数据完整有效。
5、将恢复出的数据迁移回用户方的hyper-v环境中并启动虚拟机，所有数据正常，本次数据恢复工作完成。


审核编辑 黄宇