服務器數據恢復環境：
Windows Server操作系統服務器，部署Hyper-V虛擬化環境，虛擬機的硬盤文件和配置文件存放在某品牌MD3200存儲中，MD3200存儲中有一組由4塊硬盤組成的raid5陣列，存放虛擬機的數據文件；另外還有一塊硬盤存放虛擬機數據文件的備份。

服務器故障&檢測：
由于MD3200存儲中虛擬機的數據文件丟失，導致整個Hyper-V服務癱瘓，虛擬機無法使用。
1、將M3200存儲中所有硬盤編號取出，對MD3200存儲中所有硬盤進行物理故障檢測，經過檢測發現所有硬盤均可以正常讀取，不存在明顯物理故障。
2、操作系統工作狀態正常，未發現有問題的進程，排除操作系統問題。
3、丟失數據硬盤的文件系統可以正常打開，殺毒軟件檢測后沒有發現問題。經過檢測發現文件系統的元文件創建時間與數據丟失的時間相同，這意味著文件系統被人為重寫了，即分區被格式化了。
4、數據丟失之前和數據丟失當天的系統日志已被清空，審核日志和服務日志卻還在。格式化分區的操作只會記錄在系統日志中，符合人為破壞的特征。
5、需要恢復的系統日志被新的日志記錄覆蓋，無法恢復。
6、只有兩個分區的文件系統被重寫。格式化兩個分區需要兩個獨立的過程，這種針對性的操作只能是人為的。

服務器數據恢復過程：
1、之前檢測沒有發現硬盤存在物理故障，直接將所有硬盤以只讀方式做全盤鏡像，鏡像完成后將所有磁盤按照編號還原到原存儲中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。

北亞企安數據恢復——Hyper-V數據恢復

2、基于鏡像文件分析底層數據，獲取RAID5陣列的盤序、條帶大小、條帶走向等信息。根據這些信息重組raid5陣列。
重組RAID：

北亞企安數據恢復——Hyper-V數據恢復

打開陣列：

北亞企安數據恢復——Hyper-V數據恢復

3、基于鏡像文件分析底層數據，發現許多以前文件系統的目錄項及文件索引的殘留數據。經過核對發現這些文件索引指向的數據都是用失的文件內容。北亞企安數據恢復工程師編寫了一個提取文件索引項的小程序掃描&提取所有文件索引項。
4、分析提取出來的文件索引項，發現其索引項都是不連續的，并且大多都是以16K或8K對齊的。正常情況下，文件索引項是連續的，大小為固定的1K，每個文件索引項對應一個文件或目錄。不連續且不完整的文件索引項無法正常索引到文件的內容，北亞企安數據恢復工程師對掃描出來的不連續的文件索引項進行加工處理。
文件索引項截圖：

北亞企安數據恢復——Hyper-V數據恢復

5、處理好所有的文件索引項后，根據文件索引項編號將文件索引項拼接成完整目錄項結構。由于部分文件索引項被破壞，只能找到大部分文件索引項，所幸這些找到的文件索引項足以拼接成完整目錄結構。
掃描到的文件索引項碎片：

北亞企安數據恢復——Hyper-V數據恢復

6、將重建好的目錄結構替換現有文件系統中的目錄結構，然后由北亞企安數據恢復工程師手動修改部分校驗值并解釋這個目錄結構，即可看到丟失的數據了。
目錄結構：

北亞企安數據恢復——Hyper-V數據恢復

北亞企安數據恢復——Hyper-V數據恢復

將其中一個最新的VHD文件恢復出來后拷貝到一臺支持附加VHD的服務器上，嘗試附加此VHD，附加成功。檢查VHD中最新的數據的完整性，沒有發現問題。將所有數據恢復到一塊硬盤中。
恢復出來的所有虛擬機數據文件：

北亞企安數據恢復——Hyper-V數據恢復

7、在一臺測試服務器上搭建Hyper-V的環境，將恢復出來的虛擬機文件連接到這臺測試服務器上。通過導入虛擬機的方式將恢復出來的數據遷移到新的Hyper-V環境，讓用戶方來驗證虛擬機&虛擬機數據的完整性，經過驗證用戶方確認恢復出來的數據完整有效。
虛擬機導入的過程：

北亞企安數據恢復——Hyper-V數據恢復

8、將所有恢復出來的數據拷貝至用戶方準備好的服務器中，然后將虛擬機導入到用戶方準備好的的Hyper-V環境中，導入后沒有報錯，嘗試啟動所有虛擬機，所有虛擬機啟動都沒問題。本次服務器數據恢復工作完成。

北亞企安數據恢復——Hyper-V數據恢復

北亞企安數據恢復——Hyper-V數據恢復

北亞企安數據恢復——Hyper-V數據恢復

審核編輯 黃宇