服务器存储数据恢复环境&故障:
存储中有一组由3块SAS硬盘组建的raid。上层win server操作系统层面划分了3个分区,数据库存放在D分区,备份存放在E分区。
RAID中一块硬盘的指示灯亮红色,D分区无法识别;E分区可识别,但是拷贝文件报错。管理员重启服务器,导致离线的硬盘上线开始同步数据,同步还没有完成就直接强制关机了,之后就没有动过服务器。
服务器存储数据恢复过程:
1、将故障存储中所有硬盘标记后取出,以只读方式进行扇区级全盘镜像,镜像过程中没有发现有硬盘存在坏道。后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析所有磁盘底层数据,获取重组raid所需要的信息。根据获取到的raid信息重组raid,并进行异或校验,只有部分校验通过。因为离线硬盘上线之后会进行同步操作,损坏数据,只有部分校检通过就表示数据有损坏。
3、北亚企安数据恢复工程师尝试多种硬盘离线状态下提取数据,结果发现每块盘离线所提取的数据都是一样的。
4、分析&修复E分区中的dat文件,发现两个备份文件都有损坏。
5、分析聚合dat碎片,验证dat数据完整性,发现底层结构有损坏。
6、分析&扫描D分区的数据文件,但是数据文件目录不可见。
7、扫描D分区自由空间数据页,使用北亚企安自主开发工具分析和聚合文件碎片。
8、验证数据文件碎片的完整性和有效性。
9、提取备份文件中的数据记录到新建的数据库中。
10、将上层应用连接数据库,验证数据可用性。数据库文件可以正常加载,上层应用中用户账号正常,可以进行正常的数据查询。用户认可数据恢复结果。