虛擬化數據恢復環境：
一臺服務器上部署的Hyper-V虛擬化平臺，虛擬機的硬盤文件和配置文件放在一臺某品牌MD3200存儲中。該存儲中有一組由4塊硬盤組建的raid5磁盤陣列，還有一塊大容量硬盤存放虛擬機數據文件的備份。

虛擬化故障：
MD3200存儲中虛擬機數據文件丟失，導致Hyper-V服務癱瘓，虛擬機無法使用。

虛擬化故障分析：
1、檢測MD3200存儲是否存在物理故障，經過檢測沒有發現存儲存在任何物理故障，硬盤均正常工作。
2、檢查操作系統，未發現出錯進程，排除因操作系統問題導致的數據丟失。
3、分析丟失數據硬盤的文件系統，文件系統打開正常，不符合病毒破壞的表現。使用多款殺毒軟件檢測無病毒。分析丟失數據硬盤的文件系統，發現文件系統的元文件創建時間（也就是文件系統的創建時間）與數據丟失的時間剛好一樣。這種表現通常意味著文件系統被人為重寫，即分區被格式化了。
4、檢查系統日志，發現數據丟失時間之前以及數據丟失當天的系統日志已被清空，審核日志和服務日志卻未清空。這種情況應該是人為操作，格式化分區的操作只記錄在系統日志中，這與人為破壞的表現相符。
5、嘗試恢復系統日志。分析硬盤底層數據，發現硬盤底層中需要恢復的系統日志已被新的日志記錄覆蓋，無法恢復。
6、分析操作系統中的所有分區。發現只有存儲中兩個分區的文件系統被重新寫入文件系統。格式化兩個分區需要兩個獨立的過程，這種針對性的操作基本上是人為的。

重現格式化操作：
1、通過在分區上“右鍵”，選擇“格式化”按鈕，可以格式化選中的分區。
2、在開始菜單“運行”中輸入“cmd”命令進入到命令行模式，然后使用FORMAT命令，可以格式化指定分區。
3、創建一個bat文件，在文件中寫入格式化的命令，然后運行bat文件可以格式化指定分區。
4、因為有兩個獨立的文件系統的數據丟失，故上述的流程可能被執行了多次。應該因人為操作導致。

虛擬化數據恢復方案：
根據前期的故障分析，北亞企安數據恢復工程師團隊敲定數據恢復方案：
1、備份數據，對丟失數據的硬盤做全盤備份。
2、分析硬盤底層數據，重組RAID陣列。
3、分析重組的陣列，看能否找到原始文件索引項及對應的數據區。
4、核對查找到的文件索引項是否符合用戶丟失的數據，并核對相應的數據區有無破壞。
5、將掃描到的文件索引項碎片拼接成一個完整的目錄結構。
6、根據拼接好的目錄結構去底層恢復對應的數據，并檢查數據的正確性。
7、核對數據沒問題后恢復所有數據。

虛擬化數據恢復方案實施：
1、將Dell M3200存儲中所有的硬盤編號后取出，由硬件工程師檢測硬盤是否存在物理故障。經過檢測沒有發現有硬盤存在物理故障。以只讀方式將每塊硬盤做扇區級全盤鏡像。鏡像完成后將所有磁盤按照編號還原到原存儲中，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
備份硬盤數據：

Hyper-V數據恢復

2、基于鏡像文件分析所有硬盤上的底層數據。通過分析獲取重組RAID5陣列的raid相關信息，如：條帶大小，條帶走向等。根據獲取到的raid信息重組RAID。
重組RAID：

Hyper-V數據恢復

打開硬盤陣列：

Hyper-V數據恢復

3、分析硬盤底層數據，發現硬盤底層中還殘留著許多原始文件系統的目錄項及文件索引。經過核對發現這些文件索引指向的數據都是用戶丟失的文件內容。北亞企安數據恢復工程師編寫一個提取文件索引項的小程序，掃描整個硬盤中所有存在的文件索引項，提取所有文件的文件索引項。
4、分析所有掃描到的文件索引項，發現這些索引項都是不連續的，大多以16K或8K對齊的。正常情況下的文件索引項是連續的，大小為固定的1K，每個文件索引項對應一個文件或目錄。而掃描出來的這些不連續且不完整的文件索引項無法正常索引到文件的內容。因此需要對掃描出來的文件索引項做加工處理。
在掃描出來的文件索引項中搜索” .VHD”，能找到一個” .VHD”的文件記錄，然后將這段文件索引項提取出來。查看這段提取出來的文件索引項中是否有指向下一段文件索引項的記錄或者是H20屬性，如果有則根據文件索引項中的特征去匹配下一段文件索引項，如果沒有則跳過這段文件索引項。
根據上述方法基本能查到大多數的文件索引項片段。而缺失的文件索引項片段則有可能被破壞了。可以考慮從備份盤中去查找缺失的文件索引項片段，因此可以搜索到大部分的文件索引項。
文件索引項截圖：

Hyper-V數據恢復

5、根據上述方法盡可能找到所有的文件索引項，然后根據文件索引項的編號將其拼接成整個目錄項結構。由于有部分文件索引項被破壞，只能找到大部分文件索引項，但這些文件索引項已經足以拼接成整個目錄結構了。
掃描到的文件索引項碎片：

Hyper-V數據恢復

6、將拼接好的目錄結構替換現有文件系統中的目錄結構，使用工具修改部分校驗值，再使用專業工具解釋這個目錄結構即可看到原有丟失的數據了。
解釋出來的目錄結構：

Hyper-V數據恢復 Hyper-V數據恢復

7、為了確定數據是否正確，將其中一個最新的VHD文件恢復出來，然后將其拷貝到一臺支持附加VHD的服務器上，嘗試附加此VHD，結果附加成功。檢查VHD中最新的數據是否完整，檢查完整后將所有數據恢復到一塊硬盤中。
恢復出來的所有虛擬機數據文件：

Hyper-V數據恢復

8、在一臺測試服務器上搭建Hyper-V的環境，將恢復出來的虛擬機文件連接到這臺服務器。通過導入虛擬機的方式，將恢復出來的數據都遷移到新的Hyper-V環境中。然后讓用戶方驗證所有虛擬機是否完整。
導入虛擬機：

Hyper-V數據恢復 Hyper-V數據恢復

9、在用戶方驗證所有虛擬機沒問題后，將所有數據拷貝至用戶方準備好的服務器中。通過導入的方式將虛擬機導入到用戶方的Hyper-V環境中，但是在導入的過程中出現錯誤。

Hyper-V數據恢復

經過查找資料和分析，確定出錯原因是導入的方法不正確，需要以下面的方式導入虛擬機。

Hyper-V數據恢復

重新導入后沒有報錯。

Hyper-V數據恢復

嘗試啟動所有虛擬機，所有虛擬機啟動都沒問題。

Hyper-V數據恢復

10、用戶方對所有虛擬機中的數據進行檢測后，確認恢復出來的數據完整有效，認可數據恢復結果。