服務器數據恢復環境：
某公司的一臺NetApp某型號存儲；
幾十塊磁盤組建兩組存儲池，兩組存儲池互為鏡像；
存儲池劃分卷并映射到ESXI作為數據存儲使用，卷內有數百臺虛擬機。

服務器故障：
管理員操作失誤導致卷丟失，卷內虛擬機無法訪問。管理員對該NetApp存儲進行檢查后嘗試恢復數據但是沒有成功。

北亞企安數據恢復——NetApp存儲數據恢復

服務器數據恢復過程：
1、為防止可能對原始磁盤內的原始數據造成二次破壞，首先將故障NetApp存儲中的所有磁盤以只讀方式進行鏡像備份。
2、分析故障NetApp存儲中磁盤陣列的底層數據，根據底層數據元信息確定磁盤陣列中每塊磁盤的盤序及功能（數據/校驗），確定無離線盤，無需校驗信息，剔除掉校驗盤。
圖1
3、NetApp存儲使用的文件系統為WAFL，本案例中的NetApp存儲的文件系統采用了高版本模式。填寫好配置文件，使用北亞自主研發的NetApp解析程序進行解析。

北亞企安數據恢復——NetApp存儲數據恢復

北亞企安數據恢復——NetApp存儲數據恢復

4、提取完數據后，由北亞企安數據恢復工程師對提取數據進行文件自檢驗，檢驗文件數據過程中發現數據文件異常。進行二次分析后發現部分數據塊由于指針異常被填充。

北亞企安數據恢復——NetApp存儲數據恢復

此類指針在以往的案例中從未遇見過，沒有現成的數據恢復方案可解決這個問題，只能將該case移交給北亞企安非常規業務技術攻關小組進行技術攻關。
5、非常規業務技術攻關小組分析&測試后得出結論：此類指針為壓縮占用標志，并給出了解壓算法。
6、北亞企安數據恢復工程師根據解壓算法編寫數據解壓程序，對提取數據進行解壓驗證。在解壓過程中對出現的異常情況進行調整，不斷完善解壓算法，最終完成了解壓程序的編寫，經過驗證確認程序完整可用。
7、使用解壓程序解壓后的虛擬機VMDK可正常解析，解析&導出文件。將提取的文件樣本移交給用戶檢驗，經過用戶方工程師的反復檢驗后一切正常。
8、北亞企安數據恢復工程師繼續調整數據提取程序，并添加目錄塊解析模塊以及解壓模塊，提取故障NetApp存儲卷內所有文件，進行批量數據恢復操作。

數據驗證：
待所有數據提取完成后，將數據遷移到用戶存儲中進行驗證，經過數據恢復工程師和客戶方工程師的反復驗證，確認數據完整可用，本次數據恢復工作完成。

審核編輯黃宇