服务器数据恢复环境&故障:
某品牌服务器,搭建raid5磁盘阵列。
用户误操作删除服务器上的卷。
经过检测发现服务器不存在物理故障,可以从raid5磁盘阵列层面进行数据恢复。
服务器数据恢复过程:
1、对故障服务器所有硬盘以只读方式做镜像备份,后续的数据分析和数据恢复操作都基于镜像文件进行, 避免对原始数据造成二次破坏。
2、分析超级块信息,获取到raid5阵列的逻辑起始块位置号,记录raid5阵列起始块位置。
3、去除raid5阵列的校验盘。经过分析发现raid5阵列数据块大小为8扇区,每个数据块后有一个附加的大小为64字节的数据块描述信息。所以在底层找到0X10位置为FFFF的就是要找的校验块。
4、分析aggr盘序。已知raid5阵列中的数据块大小为8扇区,因此按照每块磁盘的8号扇区进行盘序分析,确定每块磁盘各自归属的组,还原磁盘在各自的组内的排序。
5、分析raid磁盘阵列节点信息。服务器的节点分布在不同的数据块内并组成节点组,前面已经分析出每64字节记录一些系统数据,之后用192字节为一项来记录各个文件节点。文件节点根据用户级别可分为两类:“MBFP”系统文件节点和“MBFI”用户文件节点,在恢复数据时一般只取MBFI节点组即可。
*头部信息64字节(此头部为数据文件的节点文件块头部,大小为64字节)
*“MBFP”为元文件的节点标志,“MBFI”为用户文件的节点标志
6、根据更新序列值获取到最新节点。解析节点中节点类型、逻辑块号、文件数量、文件大小、所占块数量及数据指针。获取节点在节点文件中的逻辑块号,从0开始计数。
7、获取目录项,并根据其节点编号,找到对应节点。
8、根据分析获取到的raid阵列信息重组raid5阵列,北亚数据恢复工程师编写小程序提取服务器内的数据。
服务器数据验证:
北亚数据恢复工程师在服务器上搭建了与原始服务器相同的环境,在上层应用内验证数据无误后交付给用户,由用户亲自验证,经过用户反复验证后确认数据完整可用。