服務器數據恢復環境：
某單位一臺Dell服務器上使用RAID卡搭建了一組由4盤RAID10。
服務器安裝的XenServer虛擬化操作系統，虛擬機采用的Windows Server操作系統。
共系統盤和數據盤兩個虛擬機磁盤，上層部署的是Web服務器（ASP + SQLServer架構）。

服務器故障&分析：
由于服務器突然斷電，服務器中一臺VPS（XenServer虛擬機）不可用，虛擬磁盤文件丟失。
1、將故障服務器中磁盤編號后取出，以只讀方式將所有磁盤鏡像備份。備份完成后將所有磁盤按照編號還原到原服務器中。后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始數據造成二次破壞。
2、XenServer虛擬機磁盤都是以LVM的結構組織的（每個虛擬機的虛擬磁盤都是一個LV，并且虛擬磁盤的模式為精簡模式）。LVM的相關信息記錄在XenServer中。北亞企安數據恢復工程師查看“/etc/lvm/backup/“下LVM相關信息，但是沒有發現損壞的虛擬磁盤的信息，判斷LVM的信息已經更新，繼續分析底層查找到未被更新的LVM信息。

北亞企安數據恢復——XenServer虛擬機數據恢復

3、根據未被更新的LVM信息找到虛擬磁盤的數據區域，但該區域的數據已破壞。經過分析確認導致虛擬機不可用的原因：虛擬機的虛擬磁盤被破壞導致虛擬機中的操作系統和數據丟失。這種情況可能是由虛擬機遭遇網絡攻擊或惡意程序造成的。
4、核對這片區域后，北亞企安數據恢復工程師發現雖然有很多數據被破壞，但存在很多數據庫的頁碎片，可以嘗試將數據庫的頁碎片拼接成一個可用的數據庫。

服務器數據恢復方案：
1、根據RAR壓縮包的結構可以找出壓縮包的數據開始位置。因為RAR壓縮包文件的第一個扇區中會記錄此RAR的文件名，所以通過將備份數據庫的壓縮包文件名和目前找到的壓縮包位置的文件名進行匹配的方法找到備份數據庫壓縮包的開始位置。
2、找到壓縮包的位置后分析這片區域的數據，然后將此區域的數據找出來重命名為一個RAR格式的壓縮文件。然后嘗試解壓此壓縮包，發現解壓報錯。

北亞企安數據恢復——XenServer虛擬機數據恢復

解壓報錯的原因是部分數據被破壞。嘗試使用RAR修復工具處理后解壓部分數據，結果修復完成后解壓出來的的數據只包含網站的部分代碼，并沒有數據庫備份文件，可以初步判斷RAR壓縮包中的數據庫備份文件已經損壞。

北亞企安數據恢復——XenServer虛擬機數據恢復

3、根據SQL Server數據庫的結構在底層分析數據庫的開始位置。在SQL Server數據庫的結構中，通常第9個頁會記錄數據庫名。因此在知道數據庫的前提下去分析底層找到此數據庫的開始位置。SQL Server數據庫的每個頁中都會記錄數據庫頁編號和文件號。北亞企安數據恢復工程師根據這些SQL Server數據庫特征編寫程序在底層掃描符合數據庫頁的數據。
4、將掃描出來的碎片按順序重組成一個完整MDF文件，通過MDF校驗程序檢測整個MDF文件的完整性。

北亞企安數據恢復——XenServer虛擬機數據恢復

5、檢測沒有發現問題后搭建數據庫環境，將重組后的數據庫附加到搭建好的數據庫環境中。查詢相關表數據是否正常，查詢最新數據是否存在。經過用戶方的查詢和反復檢測，確認恢復出來的數據完整有效。本次數據恢復工作完成。

北亞企安數據恢復——XenServer虛擬機數據恢復

審核編輯 黃宇