由于存储设备中的虚拟机数据文件丢失,整个Hyper-V服务瘫痪,虚拟机无法使用。管理员联系我们数据恢复中心寻求帮助,北亚数据恢复工程师团队对故障存储服务器进行检测:
1、检测故障存储服务器没有发现物理故障,硬盘均可以正常工作。
2、检查操作系统没有发现出错进程,排除因操作系统问题导致的数据丢失。
3、分析丢失数据的硬盘的文件系统:打开正常,排除入侵破坏的可能性。在分析硬盘的文件系统过程中发现此文件系统的元文件创建时间与数据丢失的时间相吻合。发现这种情况,数据恢复工程师初步判断文件系统被人为重写,即分区被格式化。
4、检查系统日志发现数据丢失的当天和之前的系统日志已被清空,审核日志和服务日志却并未清空,这种情况符合人为操作的特征。格式化分区的操作只记录在系统日志中,这也与人为破坏的特征相符。
5、分析硬盘的底层数据,发现硬盘底层中需要恢复的系统日志已被新的日志记录覆盖,无法恢复。
6、对操作系统中的所有分区进行分析,发现故障存储中只有两个分区被重新写入文件系统。对两个分区的格式化需要有两个独立的过程,这种针对性的操作更加验证本案例的故障是人为导致。
根据故障分析结论,北亚数据恢复工程师团队敲定以下恢复方案:
1、对故障存储中的所有硬盘做全盘备份。
2、分析每个硬盘的数据获取到RAID相关信息,重组RAID阵列。
3、对重组的阵列进行分析,看能否找到原有的文件索引项及对应的数据区。
4、核对查找到的文件索引项是否符合用户数据,并核对相应的数据区有无破坏。
5、将扫描到的文件索引项碎片拼接成一个完整的目录结构。
6、根据拼接好的目录项去底层恢复对应的数据,并检查数据是否正确。
7、核对数据没问题后恢复所有数据。
-----------------------------------