0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

虚拟机文件丢失导致Hyper-V服务瘫痪的数据恢复案例

Frombyte 来源:Frombyte 作者:Frombyte 2023-02-14 15:11 次阅读

服务器数据恢复环境:

WinServer操作系统服务器,部署Hyper-V虚拟机环境;

虚拟机的硬盘文件和配置文件存储在一台存储设备中;

该存储设备配置:一组4盘raid5阵列存放虚拟机数据+单块盘存放虚拟机数据备份。

服务器故障:

由于MD3200存储中虚拟机的数据文件丢失,导致整个Hyper-V服务瘫痪,虚拟机无法使用。

服务器故障检测

1、检测物理故障,结果没有发现物理故障问题,所有硬盘均正常。

2、检测操作系统:操作系统正常运行,未发现错误进程。

3、检测丢失数据硬盘的文件系统:打开正常,检测无病毒,排除病毒破坏。继续分析丢失数据硬盘的文件系统,发现文件系统的元文件创建时间(即文件系统的创建时间)与数据丢失的时间相同。这种情况意味着文件系统被人为重写,即分区被格式化了。

4、检查系统日志:系统日志数据丢失之前及当天的系统日志已被清空,但是审核日志和服务日志还在,恰巧格式化分区的操作只记录在系统日志中。这种情况再次印证这次数据灾难是人为导致的。

5、尝试恢复系统日志,从底层数据查看发现需要恢复的系统日志已被新的日志记录覆盖,无法恢复。

6、分析所有分区,发现只有两个分区的文件系统被重新写入新的文件系统。因为两个分区的格式化需要有两个独立的过程,这种针对性的操作再次证明本次数据灾难由人为操作导致。

服务器数据恢复过程:

1、将故障存储设备中所有的硬盘编号取出,以只读方式对所有硬盘做全盘镜像,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始数据造成二次破坏。

备份所有硬盘数据:

poYBAGPrM3WAFN0sAALP1K5TaCo399.png

北亚企安数据恢复——Hyper-V数据恢复

2、镜像完成后,基于镜像文件分析RAID5磁盘阵列相关信息如条带大小、条带走向等。根据这些信息重组raid5磁盘阵列。

重组RAID5磁盘阵列:

pYYBAGPrM4GAfvdEAAMiC16BV4c027.png

北亚企安数据恢复——Hyper-V数据恢复

打开RAID5磁盘阵列:

poYBAGPrM4uAZCgNAAM-o1ckDzM908.png

北亚企安数据恢复——Hyper-V数据恢复

3、分析硬盘底层数据发现还残留着许多以前文件系统的目录项及文件索引。经过核对发现这些文件索引指向的数据都是用户丢失的文件内容。北亚企安数据恢复工程师编写提取文件索引项的小程序扫描并提取所有文件的文件索引项。

4、分析提取出来的文件索引项,发现这些索引项都是不连续的,大多数都是以16K或8K对齐的。正常情况下文件索引项是连续的,大小为固定的1K,每个文件索引项对应一个文件或目录。而扫描出来的这些不连续并且不完整的文件索引项是无法正常索引到文件内容的,因此需要处理这些扫描出来的文件索引项。

在扫描出来的文件索引项中搜索” .VHD”,能找到一个” .VHD”的文件记录,然后将这个片连续的文件索引项提取出来。

接着再查看这段提取出来的文件索引项中是否有指向下一段文件索引项的记录或者H20属性。如果有则根据文件索引项中的特征去匹配下一段文件索引项,如果没有则跳过这段文件索引项。

根据以上方法能找到了大多数的文件索引项片段,而缺失的文件索引项片段有可能被破坏了,可以从数据备份盘中去查找缺失的文件索引项片段,最终可以找到大部分的文件索引项。

文件索引项截图:

poYBAGPrM5WAS2s8AAWBXEWypsI633.png

北亚企安数据恢复——Hyper-V数据恢复

5、找到所有能找到的文件索引项之后,根据文件索引项的编号将其拼接成整个目录项结构。以下是搜索到的部分文件索引项,虽然小部分文件索引项被破坏,但这些找到的文件索引项已经足够拼接整个目录结构。

扫描到的文件索引项碎片:

poYBAGPrM5yAUCeLAAGmUkdNzXY555.png

北亚企安数据恢复——Hyper-V数据恢复

6、将重建好的目录结构替换现有文件系统中的目录结构并修改部分校验值,然后解释这个目录结构就可以看到丢失的数据了。

解释出来的目录结构:

pYYBAGPrM6WACDO3AAOuoFMAypI222.png

北亚企安数据恢复——Hyper-V数据恢复

poYBAGPrM62AH43MAALn4Z4pQtk490.png

北亚企安数据恢复——Hyper-V数据恢复

为了验证数据是否正确,将其中一个最新的VHD文件拷贝到一台支持附加VHD的服务器上,尝试附加此VHD,结果附加成功。检查VHD中最新的数据的完整度,没有发现问题后将所有数据恢复到一块硬盘中。

恢复出来的所有虚拟机数据文件:

pYYBAGPrM7OAU-6TAAJy1qEzVFc919.png

北亚企安数据恢复——Hyper-V数据恢复

7、在一台测试服务器上搭建Hyper-V环境,将恢复出来的虚拟机文件连接到这台服务器上,通过导入虚拟机的方式将恢复出来的数据都迁移到新的Hyper-V环境,然后让用户亲自验证所有虚拟机。

虚拟机导入的过程:

pYYBAGPrM7yAc6GmAAGgE0imP_I266.png

北亚企安数据恢复——Hyper-V数据恢复

8、用户验证所有虚拟机没有问题后,将所有数据拷贝至用户准备好的服务器中。用导入的方式将虚拟机导入到用户准备好的Hyper-V环境中。导入过程中和导入后都没有报错,尝试启动所有虚拟机都没有发现问题。本次数据恢复工作完成。

poYBAGPrM8WAIQ9QAAKGFXxqBdo016.png

北亚企安数据恢复——Hyper-V数据恢复

pYYBAGPrM9aAA0haAALQNGoO-yI265.png

pYYBAGPrM9yAS7x-AAN90gGvI2k200.png

北亚企安数据恢复——Hyper-V数据恢复

审核编辑:汤梓红

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9149

    浏览量

    85401
  • 数据恢复
    +关注

    关注

    10

    文章

    571

    浏览量

    17450
  • 虚拟机
    +关注

    关注

    1

    文章

    916

    浏览量

    28181
收藏 人收藏

    评论

    相关推荐

    Hyper-V创建虚拟机配置IP等网络配置原理(Linux、Windows为例)

    大家知道Windows系统里面内置了Hyper-V管理器,用来创建和管理本地虚拟机环境。今天我创建了两台虚拟机,一台是CentOS7.9(Linux),另一台是Windows 11,然后发现
    的头像 发表于 12-09 10:24 523次阅读
    <b class='flag-5'>Hyper-V</b>创建<b class='flag-5'>虚拟机</b>配置IP等网络配置原理(Linux、Windows为例)

    虚拟数据恢复—XenServer虚拟机数据恢复案例

    Server操作系统虚拟机,该虚拟机有2块虚拟磁盘(系统盘+数据盘),当作网站服务器使用。 服务
    的头像 发表于 11-08 10:32 145次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—XenServer<b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟数据恢复——Hyper-V虚拟机数据恢复案例

    ,还有一块单盘存放档虚拟机的备份文件虚拟化故障&检测: 存储中存放的虚拟机数据文件丢失
    的头像 发表于 10-25 09:26 195次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>——<b class='flag-5'>Hyper-V</b><b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟机数据恢复—异常断电导致XenServer虚拟机不可用的数据恢复案例

    虚拟机有两个虚拟机磁盘(系统盘 + 数据盘),虚拟机作为Web服务器使用。 虚拟机故障&分
    的头像 发表于 10-21 14:17 200次阅读
    <b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b>XenServer<b class='flag-5'>虚拟机</b>不可用的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟数据恢复—异常断电导致VMware虚拟机文件丢失数据恢复案例

    某品牌服务器(部署VMware EXSI虚拟机)+同品牌存储(存放虚拟机文件)。
    的头像 发表于 09-14 17:35 463次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b>VMware<b class='flag-5'>虚拟机</b><b class='flag-5'>文件</b><b class='flag-5'>丢失</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务数据恢复—意外断电导致虚拟机虚拟磁盘损坏的数据恢复案例

    器使用。 服务器故障: 因机房异常断电导致服务器中一台VPS(Xen Server虚拟机)不可用,虚拟磁盘
    的头像 发表于 09-10 17:25 349次阅读
    <b class='flag-5'>服务</b>器<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—意外断电<b class='flag-5'>导致</b><b class='flag-5'>虚拟机</b><b class='flag-5'>虚拟</b>磁盘损坏的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟数据恢复—EXSI虚拟机误还原快照如何恢复数据

    虚拟化技术原理是将硬件虚拟化供不同的虚拟机使用,一台物理机上可以有多台虚拟机。人为误操作或者物理故障会
    的头像 发表于 09-09 11:56 374次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—EXSI<b class='flag-5'>虚拟机</b>误还原快照如何<b class='flag-5'>恢复数据</b>?

    虚拟机数据恢复—KVM虚拟机被误删除的数据恢复案例

    虚拟机数据恢复环境: Linux操作系统服务器,EXT4文件系统。服务器中有数台KVM
    的头像 发表于 08-07 13:33 457次阅读
    <b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—KVM<b class='flag-5'>虚拟机</b>被误删除的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    虚拟数据恢复Hyper-V服务瘫痪导致虚拟机无法使用的数据恢复

    一台服务器上部署的Hyper-V虚拟化平台,虚拟机的硬盘文件和配置文件放在一台某品牌MD3200
    的头像 发表于 07-31 11:56 329次阅读
    <b class='flag-5'>虚拟</b>化<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—<b class='flag-5'>Hyper-V</b><b class='flag-5'>服务</b><b class='flag-5'>瘫痪</b><b class='flag-5'>导致</b><b class='flag-5'>虚拟机</b>无法使用的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>

    服务数据恢复—异常断电导致虚拟机配置文件丢失数据恢复案例

    服务数据恢复环境: 某品牌X3850系列服务器(用于VMware虚拟主机)+某品牌RD220i系列存储(用于存放
    的头像 发表于 06-28 16:34 360次阅读
    <b class='flag-5'>服务</b>器<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b><b class='flag-5'>虚拟机</b>配置<b class='flag-5'>文件</b><b class='flag-5'>丢失</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务数据恢复—EMC Isilon存储中虚拟机数据恢复案例

    、AS、TS类型的视频文件等。需要恢复数据虚拟机通过NFS协议共享到ESX主机,视频文件通过CIFS协议共享给虚拟机(WEB
    的头像 发表于 06-13 13:38 397次阅读
    <b class='flag-5'>服务</b>器<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—EMC Isilon存储中<b class='flag-5'>虚拟机</b><b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务数据恢复—异常断电导致VMware虚拟机无法启动的数据恢复案例

    服务数据恢复环境: 某大厂PS4000服务器,服务器上部署VMware ESXi虚拟化平台。
    的头像 发表于 05-29 11:29 1109次阅读
    <b class='flag-5'>服务</b>器<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—异常断电<b class='flag-5'>导致</b>VMware<b class='flag-5'>虚拟机</b>无法启动的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例

    服务数据恢复—KVM虚拟机raw格式磁盘文件数据恢复案例

    服务数据恢复环境: 一台服务器安装Linux操作系统+EXT4文件系统。服务器上运行数台KV
    的头像 发表于 05-17 13:33 445次阅读
    <b class='flag-5'>服务</b>器<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>—KVM<b class='flag-5'>虚拟机</b>raw格式磁盘<b class='flag-5'>文件数据</b><b class='flag-5'>恢复</b>案例

    服务数据恢复—VMware虚拟机无法启动的数据恢复案例

    服务数据恢复环境: 某品牌EVA某型号存储中部署VMware ESXi虚拟化平台,数据盘(精简模式)+快照
    的头像 发表于 05-06 13:26 513次阅读

    服务数据恢复Hyper-V虚拟服务瘫痪数据恢复案例

    Windows Server操作系统服务器,部署Hyper-V虚拟化环境,虚拟机的硬盘文件和配置文件
    的头像 发表于 01-10 16:41 543次阅读
    【<b class='flag-5'>服务</b>器<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>】<b class='flag-5'>Hyper-V</b><b class='flag-5'>虚拟</b>化<b class='flag-5'>服务</b><b class='flag-5'>瘫痪</b>的<b class='flag-5'>数据</b><b class='flag-5'>恢复</b>案例