服务器数据恢复环境:
EMC Unity某型号存储,连接了2台硬盘柜。2台硬盘柜上创建2组互相独立的POOL,2组POOL共有21块520字节硬盘。21块硬盘组建了2组RAID6,1号RAID6有11块硬盘. 2号RAID6有10块硬盘。
服务器故障&检测:
工作人员误操作,删除了2组POOL上的部分数据卷。
服务器数据恢复过程:
1、将故障存储全部硬盘编号后取出,由硬件工程师进行硬件故障检测,没有发现有硬盘存在硬件故障。以只读方式对所有磁盘进行扇区级别的镜像备份,并转换为512字节格式。备份完成后按照编号将所有磁盘还原到原存储设备中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析所有磁盘的底层数据。因为硬盘底层数据量较多,删除数据卷后,相关数据空间应该还没有回收清零,数据恢复可能性比较大。
3、基于镜像文件分析2组raid6阵列,获取到2组raid6阵列的相关信息。根据获取到的raid6相关信息虚拟重组2组RAID6阵列,并分别导出成镜像文件。
4、读取,整理每组RAID6阵列前面的全局位图信息。将整理好的位图信息写入到数据库。
存储的全局位图:
offset代表RAID(POOL)中的数据块的块号。据此可以大致获取RAID(POOL)中被删除的数据卷对应的已释放的数据块。
5、遍历扫描获取到的自由数据块,找到被删除的数据卷的头部。确定用户数据的一个索引信息并根据这个索引信息索引到完整的用户数据卷。读取被删除的数据卷的头部,获取到用户数据卷的部分索引位图。继续遍历扫描自由数据块&获取到剩余的索引位图。
6、与用户沟通后得知被删除的几个数据卷全部为NTFS格式。根据NTFS文件系统的结构,结合自由数据块位图和用户数据卷索引位图,北亚企安数据恢复工程师编写程序对自由数据块进行匹配拼接,完整拼接复原出5个NTFS格式的数据卷。
7、数据卷拼接完成后,对数据卷中NTFS文件系统的正确性及完整性进行校验,修复文件系统中的错误。北亚企安数据恢复工程师手工对部分未匹配到的自由数据块进行分析处理,并拼接到相应的数据卷中。
8、解析恢复出的数据卷,将数据拷贝到用户方准备好的环境中。
9、经过用户方工程师的验证,确认被删除的数据卷完全恢复,数据完整可用,本次数据恢复工作完成。
阅读(367) | 评论(0) | 转发(0) |