Hyper-V數(shù)據(jù)文件丟失解決方案（有圖有真相）

一、Hyper-V虛擬化故障概述

1、虛擬機(jī)環(huán)境
故障虛擬化環(huán)境為ESXI虛擬化服務(wù)器，虛擬機(jī)環(huán)境，虛擬機(jī)的硬盤文件和配置文件放在北京某服務(wù)器托管公司的DELL MD3200存儲(chǔ)中（存儲(chǔ)由5塊容量為600G的硬盤組成raid磁盤陣列）。該存儲(chǔ)中4塊硬盤用作存儲(chǔ)虛擬機(jī)的數(shù)據(jù)文件。單塊硬盤用作虛擬機(jī)數(shù)據(jù)文件的備份。

2、虛擬機(jī)故障分析
對(duì)MD3200存儲(chǔ)服務(wù)器進(jìn)行物理檢測(cè)：發(fā)現(xiàn)存儲(chǔ)并未出現(xiàn)物理故障，涉事硬盤均正常工作
檢查操作系統(tǒng)：工作正常中，未發(fā)現(xiàn)出錯(cuò)進(jìn)程，排除因操作系統(tǒng)BUG導(dǎo)致的數(shù)據(jù)丟失。
分析丟失數(shù)據(jù)硬盤的文件系統(tǒng)：打開(kāi)正常，不符合病毒破壞的表現(xiàn)特征，同時(shí)經(jīng)殺毒軟件檢測(cè)無(wú)病毒。再仔細(xì)分析硬盤的文件系統(tǒng)，發(fā)現(xiàn)此文件系統(tǒng)的元文件創(chuàng)建時(shí)間為4月24日，表明文件系統(tǒng)的創(chuàng)建時(shí)間為4月24日，與數(shù)據(jù)丟失的時(shí)間相吻合。通常這種故障表明文件系統(tǒng)被人為重寫了，即分區(qū)被格式化了。
檢查系統(tǒng)日志：發(fā)現(xiàn)系統(tǒng)日志11月28號(hào)之前以及當(dāng)天的系統(tǒng)日志已被清空，審核日志和服務(wù)日志卻并未清空。通常情況下，此操作應(yīng)該由人為導(dǎo)致。而格式化分區(qū)的操作只記錄在系統(tǒng)日志中，這與上述人為破壞的表現(xiàn)相符。
嘗試恢復(fù)系統(tǒng)日志：仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中需要恢復(fù)的系統(tǒng)日志已被新的日志記錄覆蓋，無(wú)法恢復(fù)。
分析操作系統(tǒng)中的所有分區(qū)：發(fā)現(xiàn)只有MD3200存儲(chǔ)中的兩個(gè)分區(qū)的文件系統(tǒng)被重新寫入文件系統(tǒng)了。通常情況下，對(duì)兩個(gè)分區(qū)的格式化需要有兩個(gè)獨(dú)立的過(guò)程，因此這種針對(duì)性的操作應(yīng)該由人為導(dǎo)致。

3、導(dǎo)致該故障的常見(jiàn)方式總結(jié)
通過(guò)在分區(qū)上“右鍵”，選擇“格式化”按鈕，可以格式化選中的分區(qū)。
在開(kāi)始菜單“運(yùn)行”中輸入“cmd”命令進(jìn)入到命令行模式，然后使用FORMAT命令，可以格式化指定分區(qū)。
創(chuàng)建一個(gè)bat文件，在文件中寫入格式化的命令，然后運(yùn)行bat文件可以格式化指定分區(qū)。
因?yàn)橛袃蓚€(gè)獨(dú)立的文件系統(tǒng)數(shù)據(jù)丟失，故上述的流程可能被執(zhí)行了多次。應(yīng)該因人為操作導(dǎo)致。

二、制定虛擬機(jī)數(shù)據(jù)恢復(fù)方案

1.對(duì)丟失數(shù)據(jù)的硬盤。做全盤備份，以確保數(shù)據(jù)的安全性。
2.分析每個(gè)硬盤的數(shù)據(jù)，根據(jù)分析的結(jié)構(gòu)重組RAID 陣列。
3.分析重組完的陣列，看能否找到原有的文件索引項(xiàng)及對(duì)應(yīng)的數(shù)據(jù)區(qū)。
4.核對(duì)查到的文件索引項(xiàng)是否符合用戶數(shù)據(jù)，并核對(duì)相應(yīng)的數(shù)據(jù)區(qū)有無(wú)破壞。

5. 根據(jù)掃描到的文件索引項(xiàng)碎片，將其拼接成一個(gè)完整的目錄結(jié)構(gòu)。
   6.根據(jù)拼接好的目錄項(xiàng)去底層恢復(fù)對(duì)應(yīng)的數(shù)據(jù)，并檢查數(shù)據(jù)是否正確。
   7.核對(duì)數(shù)據(jù)沒(méi)問(wèn)題后恢復(fù)所有數(shù)據(jù)。

三、實(shí)施解決方案

1.備份用戶數(shù)據(jù)
由于數(shù)據(jù)全部都放Dell M3200存儲(chǔ)中，因此只需要恢復(fù)Dell M3200存儲(chǔ)中的數(shù)據(jù)即可。將Dell M3200存儲(chǔ)中所有的硬盤編號(hào)標(biāo)記后從存儲(chǔ)中拔下來(lái)交給硬件數(shù)據(jù)恢復(fù)團(tuán)隊(duì)檢測(cè)硬盤是否存在物理故障。經(jīng)檢測(cè)沒(méi)問(wèn)題后對(duì)每塊硬盤做全盤鏡像，使用數(shù)據(jù)恢復(fù)工具將硬盤中所有扇區(qū)鏡像到一塊備份硬盤中。
如下圖：使用專業(yè)數(shù)據(jù)恢復(fù)工具備份所有硬盤數(shù)據(jù)


2、重組磁盤陣列
對(duì)所有硬盤進(jìn)行鏡像備份后分析每塊硬盤上的數(shù)據(jù)。發(fā)現(xiàn)4塊600G硬盤做了一個(gè)RAID5，另一塊600G硬盤做為數(shù)據(jù)備份使用。通過(guò)對(duì)硬盤結(jié)構(gòu)進(jìn)行詳細(xì)分析得出該RAID 5磁盤陣列的相關(guān)信息，如：條帶大小，條帶走向等信息。根據(jù)這些信息即可重組此RAID。
如下圖：使用專業(yè)工具重組RAID

如下圖：是用專業(yè)工具打開(kāi)硬盤陣列的情況

3、掃描舊的文件索引項(xiàng)
仔細(xì)分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)硬盤底層中還殘留著許多以前文件系統(tǒng)的目錄項(xiàng)及文件索引。經(jīng)過(guò)仔細(xì)核對(duì)發(fā)現(xiàn)這些文件索引指向的數(shù)據(jù)都是用戶丟失的文件內(nèi)容。但由于整個(gè)硬盤太大，人工去搜索文件索引會(huì)很慢，因此編寫一個(gè)提取文件索引項(xiàng)的小程序，對(duì)整個(gè)硬盤中所有存在的文件索引項(xiàng)做掃描，提取所有文件的文件索引項(xiàng)。

4、分析掃描到文件索引項(xiàng)
對(duì)掃描到的所有文件索引項(xiàng)分析，發(fā)現(xiàn)其索引項(xiàng)均不連續(xù)并且大多以14K或6K對(duì)齊。正常情況下的文件索引項(xiàng)是連續(xù)且大小固定，每個(gè)文件索引項(xiàng)對(duì)應(yīng)一個(gè)文件或目錄。掃描出來(lái)的這些不連續(xù)、不完整的文件索引項(xiàng)是無(wú)法正常索引到文件的內(nèi)容，因此需要對(duì)掃描出來(lái)的文件索引項(xiàng)做加工處理。在掃描出來(lái)的文件索引項(xiàng)中搜索” .VHD”，能找到一個(gè)” .VHD”的文件記錄。然后將這個(gè)片連續(xù)的文件索引項(xiàng)提取出來(lái)。接著再查看這段提取出來(lái)的文件索引項(xiàng)中是否有指向下一段文件索引項(xiàng)的記錄或者是H20屬性。如果有則根據(jù)文件索引項(xiàng)中的特征去匹配下一段文件索引項(xiàng)，如果沒(méi)有則跳過(guò)這段文件索引項(xiàng)。根據(jù)以上方法基本能查到大多數(shù)的文件索引項(xiàng)片段。而缺失的文件索引項(xiàng)片段有可能被破壞了，但是可以從數(shù)據(jù)備份盤中去查找缺失的文件索引項(xiàng)片段，因此基本可以搜索到大部分的文件索引項(xiàng)。
如下圖：是文件索引項(xiàng)截圖

5、將文件索引項(xiàng)組成完整的目錄結(jié)構(gòu)
根據(jù)上述方法找到所有文件索引項(xiàng)，根據(jù)文件索引項(xiàng)的編號(hào)將其拼接成整個(gè)目錄項(xiàng)結(jié)構(gòu)。以下是搜索到的部分文件索引項(xiàng)，由于有部分文件索引項(xiàng)被破壞，因此只能找到大部分文件索引項(xiàng)，但這些文件索引項(xiàng)已經(jīng)足以拼接成整個(gè)目錄結(jié)構(gòu)了。
如下圖：是掃描到的文件索引項(xiàng)碎片

四、修復(fù)文件系統(tǒng)

將重建好的目錄結(jié)構(gòu)和現(xiàn)有文件系統(tǒng)中的目錄結(jié)構(gòu)進(jìn)行替換，然后使用數(shù)據(jù)恢復(fù)工具修改部分校驗(yàn)值。再使用數(shù)據(jù)恢復(fù)工具解釋這個(gè)目錄結(jié)構(gòu)即可看到原有丟失的數(shù)據(jù)。
如下圖：是用專業(yè)工具解釋出來(lái)的目錄結(jié)構(gòu)

為了確定數(shù)據(jù)是否正確，將其中一個(gè)最新的VHD文件恢復(fù)出來(lái)。然后將其拷貝到一臺(tái)支持附加VHD的服務(wù)器上，嘗試附加此VHD。結(jié)果附加成功，檢查VHD中最新的數(shù)據(jù)是否完整。一切檢查完整后將所有數(shù)據(jù)恢復(fù)到一塊硬盤中。
如下圖：是恢復(fù)出來(lái)的所有虛擬機(jī)數(shù)據(jù)文件

五、驗(yàn)證所有數(shù)據(jù)

在一臺(tái)測(cè)試服務(wù)器上搭建Hyper-V的環(huán)境，將恢復(fù)的虛擬機(jī)文件連接到這臺(tái)服務(wù)器上，通過(guò)導(dǎo)入虛擬機(jī)的方式將恢復(fù)的數(shù)據(jù)都遷移到新的Hyper-V環(huán)境。最后讓客戶來(lái)驗(yàn)證所有虛擬機(jī)是否完整。
如下圖：是虛擬機(jī)導(dǎo)入的過(guò)程

六、遷移所有數(shù)據(jù)

在客戶驗(yàn)證所有虛擬機(jī)數(shù)據(jù)恢復(fù)成功后，將所有數(shù)據(jù)拷貝至客戶服務(wù)器中。然后利用導(dǎo)入的方式將虛擬機(jī)導(dǎo)入到客戶的Hyper-V環(huán)境中。