服務器數據恢復環境：
Dell存儲服務器，采用esxi虛擬化系統，esxi虛擬化系統里有3臺虛擬機；上層iSCSI使用FreeNAS構建，通過iSCSI方式實現FCSAN功能；FreeNAS層采用UFS2文件系統。
esxi虛擬化系統里有3臺虛擬機中的一臺虛擬機采用FreeBSD系統，存儲數據庫文件；另外兩臺虛擬機分別存儲網站數據和數據庫+工作程序代碼。

北亞企安數據恢復——ESXI數據恢復

服務器故障：
機房供電不穩導致該存儲服務器非正常關機，管理員重啟服務器后發現ESXI系統無法連接存儲。通過服務器故障排查，發現FreeNAS的UFS2文件系統出現故障，管理員對UFS2文件系統進行fsck修復并將ESXI系統連接到服務器存儲上。
管理員對上層文件系統及數據進行檢查，發現文件系統和存儲數據都無法識別，于是對vmfs執行了格式化操作，數據丟失。需要恢復3臺虛擬機以及內部的數據。

服務器數據恢復過程：
1、首先對FreeNAS層以只讀方式進行鏡像備份，后續的數據恢復工作都基于鏡像文件進行操作，避免對原始數據造成二次破壞。
2、基于鏡像文件分析底層數據。經過分析服務器數據恢復工程師注意到一個幾百G大小的，被命名為iscsidata的大文件。
3、繼續分析UFS2文件系統結構，根據UFS2文件系統的存儲結構定位到這個名為iscsidata的大文件的iNode數據并進一步進行查看，發現名為iscsidata的大文件被重建過，iNode指針所指向的數據量非常少。在這種情況下，想要進入到vmfs文件系統層進行數據分析和恢復必須先分析出FreeNAS層的相關信息。

4、通過分析得到如下FreeNAS層信息：UFS2文件系統塊大小為16kb，segment大小為2kb，柱面組大小為188176kb，數據指針大小為8字節，每個塊可容納數據指針數量為2048個。
根據上面分析到的信息可以計算出：一個二級指針塊可存儲的數據量=2048*2048*16KB=64GB。三級指針塊可存儲的數據量=64GB*2048=128TB。
5、服務器數據恢復工程師計劃通過iscsidata文件的三級指針塊來恢復FreeNAS層的數據，但由于該文件曾經被重建，部分指針被重建的數據覆蓋，原文件的iNode和重建后的iNode所處位置完全一致，也沒有找到其他可用于恢復數據的iNode數據。
6、根據實際情況，北亞企安數據恢復工程師編寫小程收集到了大量二級指針塊和三級指針塊。
7、分析三級指針塊但發現這些指針塊都無效，估計是重建時被覆蓋了，新的iscsidata文件掛載到ESXi虛擬化系統后有個VMFS格式化過程，而該版本的ESXi虛擬化系統使用的是GPT分區，GPT分區會在磁盤最后寫入冗余的GPT頭和分區表信息數據，會使用iscsidata文件的三級指針塊。
8、分析二級指針塊，對有大量二級指針塊的指向數據進行DUMP，然后再從磁盤中的數據定位到二級指針，這樣得到大量DUMP的數據。
9、北亞企安數據恢復工程師根據以前研究出的NTFS和UFS2文件系統結構定位到vmfs層，繼而定位到DUMP出的單個64GB文件，最后進行數據組合。
10、經過復雜的查詢和重組，最終成功恢復出了故障服務器存儲內的3臺虛擬機及虛擬機內的全部數據。

服務器數據驗證：

將恢復出來的數據上傳到新搭建的系統中進行驗證，經用戶管理員反復驗證，確認所有恢復出來的數據完整可用，認可數據恢復結果。

審核編輯黃宇