伺服器資料恢複環境:
Linux系統伺服器,EXT4檔案系統,部署KVM虛拟機。
伺服器故障:
伺服器上的KVM虛拟機被誤操作删除,每台虛拟機包含一個qcow2格式的磁盤檔案和一個raw格式的磁盤檔案,需要恢複raw格式的磁盤檔案,虛拟機裡面存放的是資料庫和程式代碼。
伺服器資料恢複過程:
1、對伺服器上所有磁盤以隻讀方式進行全盤備份,後續的資料分析和資料恢複操作都基于鏡像檔案進行,避免對原始資料造成二次破壞。
2、基于鏡像檔案分析EXT4檔案系統,定位被删除虛拟機磁盤檔案的節點位置。
3、擷取磁盤檔案殘留的索引資訊,校驗殘留索引資訊的正确性,北亞企安資料恢複工程師手動修複破壞不嚴重的索引。
擷取的索引等資訊:
北亞企安資料恢複——KVM虛拟機資料恢複
4、索引修複完成後,解析殘留的各級索引,從虛拟機所在的卷中提取虛拟磁盤檔案并校驗提取出的磁盤檔案的正确性與完整性。
5、根據虛拟磁盤檔案的提取情況,擷取卷中未被索引到的自由空間。
6、從自由空間中擷取有效資訊,北亞企安資料恢複工程師嘗試修補虛拟磁盤檔案(如節點,目錄項,資料庫頁等資訊)。
提取出的自由空間:
北亞企安資料恢複——KVM虛拟機資料恢複
資料恢複結果:
1、由于索引丢失,提取出的虛拟磁盤檔案并不完整,有部分資料庫檔案丢失,可以從自由空間中擷取資料庫頁對資料庫檔案進行修補,但由于部分頁所在區域被覆寫占用,隻能盡量多的去補頁。
2、對于存放程式代碼的伺服器中檔案的節點和目錄項丢失的情況,若節點或目錄項有殘留,可以嘗試補齊節點和目錄項。但如果有檔案的節點和目錄項同時丢失,這種情況無法補齊。
3、程式代碼檔案不具規律性,若其資料區丢失,也無法補齊。
恢複出的部分目錄結構:
北亞企安資料恢複——KVM虛拟機資料恢複
北亞企安資料恢複——KVM虛拟機資料恢複
資料驗證:
對虛拟磁盤檔案及其中的資料庫檔案盡最大努力修補後,交由使用者方工程師驗證。經過反複驗證,發現有小部分不重要的資料丢失,确認資料恢複結果有效。