服務器虛擬化數據恢復環境：
某品牌720服務器中有一組通過同品牌、型號為H710P的RAID卡+4塊STAT硬盤組建的RAID10磁盤陣列。上層部署XenServer虛擬化平臺。1臺Windows Server操作系統虛擬機，該虛擬機有2塊虛擬磁盤（系統盤+數據盤），當作網站服務器使用。

服務器虛擬化故障：
XenServer虛擬機不可用，虛擬磁盤中數據丟失。

服務器虛擬化數據恢復過程：
1、將故障服務器中磁盤標記后取出，硬件工程師檢測后沒有發現有硬盤存在硬件故障。將所有磁盤以只讀方式進行扇區級完整鏡像，鏡像完成后將所有磁盤按照原樣還原到原服務器中。后續的數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。
2、基于鏡像文件分析所有硬盤底層數據，發現XenServer虛擬機的磁盤是以LVM來管理的，即每臺虛擬機的虛擬磁盤都是一個LV，LVM的相關信息在XenServer中都有記載。
查看“/etc/lvm/backup/ “目錄下LVM的相關信息。沒有發現損壞的虛擬磁盤信息，基本上可以判斷LVM信息已經被更新。繼續查找，還是在底層發現了未被更新的LVM信息。

北亞企安數據恢復—XenServer數據恢復

3、根據未被更新的LVM信息找到虛擬磁盤的數據區域，發現該區域的數據已被破壞。這種情況極有可能是虛擬機遭遇攻擊后留下惡意程序所造成的。雖然該區域很多數據被破壞，但是在該區域找到大量數據庫頁碎片。可以嘗試將數據庫的頁碎片拼接成一個可用的數據庫。
4、數據庫之前做過一次備份。這個數據庫備份文件和網站代碼一起被壓縮到一個RAR的壓縮包中，因此只需要恢復這個壓縮包即可恢復這個備份的數據庫和網站的源代碼。經過嘗試后發現壓縮包中的數據已經損壞，解壓報錯。

北亞企安數據恢復—XenServer數據恢復

修復后也只能解壓出部分網站源代碼，并沒有解壓出數據庫的備份文件，RAR壓縮包中的數據庫備份文件是損壞的。無法通過這種方法恢復數據。

北亞企安數據恢復—XenServer數據恢復

5、根據SQL Server數據庫的結構在底層分析數據庫的開始位置。
SQL Server數據庫中第9個頁會記錄本數據庫的數據庫名。在用戶方獲取到數據庫的名稱之后，在底層找到數據庫的開始位置。SQL Server數據庫每個頁都會記錄數據庫頁編號以及文件號，根據這些特征北亞企安數據恢復工程師編寫程序在底層掃描符合數據庫頁的數據。
6、將掃描出來的碎片按順序重組成一個完整MDF文件，再使用MDF校驗程序檢測MDF文件的完整性。

北亞企安數據恢復—XenServer數據恢復

7、檢測沒問題之后搭建數據庫環境。將重組后的數據庫附加到搭建好的數據庫環境中。查詢相關表數據是否正常，查詢最新數據是否存在。

北亞企安數據恢復—XenServer數據恢復

8、從網站開發商拿到了網站代碼搭建好網站環境，將恢復出來的數據庫配置好進行驗證。經過用戶方驗證后，確認恢復出來的數據庫沒問題。

審核編輯 黃宇