服務器數據恢復環境：
某品牌720服務器搭配該品牌某型號RAID卡，使用4塊STAT硬盤組建了一組RAID10陣列。服務器上部署XenServer虛擬化平臺，系統盤 +數據盤兩個虛擬機磁盤。虛擬機上安裝的是Windows Server操作系統，作為Web服務器使用，網站使用的是SQLServer數據庫。

服務器故障：
服務器意外斷電導致XenServer中一臺VPS（XenServer虛擬機）不可用，虛擬磁盤文件丟失。

服務器數據恢復過程：
1、將故障服務器中磁盤編號后取出，由硬件工程師檢測排除存在硬件故障后，以只讀方式將所有磁盤進行扇區級的全盤鏡像，鏡像完成后將所有磁盤按照編號還原到原服務器中。后續的數據分析和數據恢復操作基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
2、基于鏡像文件分析底層數據發現XenServer中虛擬機的磁盤都以LVM的結構存放的，即每個虛擬機的虛擬磁盤都是一個LV，虛擬磁盤模式是精簡模式。LVM的相關信息在XenServer中有記載，查看LVM的相關信息并沒有發現存在損壞的虛擬磁盤信息，由此可以初步判斷LVM的信息已經被更新了。繼續分析底層查找到未更新的LVM信息。

北亞企安數據恢復——XenServer數據恢復

3、根據未更新的LVM信息找到虛擬磁盤的數據區域，結果發現該區域數據已被破壞。經過分析最終確定導致虛擬機不可用的原因是虛擬機的虛擬磁盤被破壞，虛擬機中的操作系統和數據丟失。這種情況可能是虛擬機遭遇網絡攻擊或hack入侵導致的。北亞企安數據恢復工程師仔細核對這片區域后發現，雖然該區域很多數據被破壞，但是能找到大量的數據庫的頁碎片?？梢試L試將這些數據庫的頁碎片拼接成一個可用的數據庫。
實施方案A：
根據RAR壓縮包的結構找到壓縮包的數據開始位置，RAR壓縮包文件的第一個扇區中會記錄此RAR的文件名。將從用戶方獲取到的數據庫壓縮包文件名和目前找到的壓縮包位置的文件名相匹配，即可找到備份數據庫壓縮包的開始位置。找到備份數據庫壓縮包的位置后分析這片區域的數據，然后將此區域的數據恢復出來重命名為一個RAR格式的壓縮文件。嘗試解壓此壓縮包，發現解壓報錯。

北亞企安數據恢復——XenServer數據恢復

經過分析發現恢復出來的壓縮包中有部分數據被破壞，所以導致解壓報錯。嘗試使用RAR修復工具解壓部分數據，修復完成之后，在解壓的數據中只找到網站的部分代碼，而沒有找到數據庫的備份文件，因此判斷RAR壓縮包中數據庫的備份文件已經被損壞。

北亞企安數據恢復——XenServer數據恢復

實施方案B：
根據SQLServer數據庫結構在底層分析數據庫的開始位置。在SQLServer數據庫的結構中，第9個頁會記錄本數據庫的數據庫名。從用戶方獲取到數據庫的名稱后，北亞企安數據恢復工程師分析底層找到此數據庫的開始位置。SQLServer數據庫的每個頁中都會記錄數據庫頁編號以及文件號，根據這些特征北亞企安數據恢復工程師編寫程序在底層掃描符合數據庫頁的數據。將掃描出來的碎片按順序重組成一個完整MDF文件，再通過MDF校驗程序檢測整個MDF文件的完整性。

北亞企安數據恢復——XenServer數據恢復

4、檢測沒有發現問題后，由數據庫工程師搭建數據庫環境，將重組后的數據庫附加到搭建好的數據庫環境中，查詢相關表數據是否正常以及最新數據是否存在。

5、由用戶方從網站程序開發商獲取網站代碼搭建好環境并配置好數據庫進行驗證。經過用戶仔細驗證，沒有發現數據庫存在問題，本次數據恢復工作完成。

審核編輯 黃宇