服务器数据恢复—误删除KVM虚拟机的数据恢复案例

服务器数据恢复环境&故障：
1台服务器，Linux操作系统+EXT4文件系统，部署了数台KVM虚拟机，每台虚拟机包含一个qcow2格式的磁盘文件，和一个raw格式的磁盘文件。
工作人员操作失误删除了3台服务器上的KVM虚拟机，需要恢复raw格式的磁盘文件。

服务器数据恢复过程：
1、将故障服务器中所有磁盘编号后取出，硬件工程师检测后没有发现有硬盘存在硬件故障。将所有磁盘以只读方式进行全盘镜像。镜像完成后将所有磁盘按照编号还原到原服务器中，后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析服务器中的EXT4文件系统，定位被删除的虚拟机磁盘文件节点位置。
3、获取磁盘文件残留的索引信息并校验残留索引信息是否正确，然后修复破坏不严重的索引。
获取的索引信息：

北亚企安数据恢复——虚拟机数据恢复

4、完成索引的修复后解析服务器中残留的各级索引，从虚拟机所在的卷中提取虚拟磁盘文件。
5、根据虚拟磁盘文件的提取情况，获取卷中未被索引到的自由空间。校验提取出的磁盘文件的正确性与完整性。
6、从自由空间中获取有效信息，尝试修补虚拟磁盘文件（如节点，目录项，数据库页等信息）。
提取出的自由空间：

北亚企安数据恢复——虚拟机数据恢复

7、由于部分索引丢失，提取出的虚拟磁盘文件并不完整。
针对存放数据库的服务器中数据库文件有丢失的情况，可以尝试从自由空间中获取数据库页去修补数据库文件。由于部分页所在区域被覆盖占用，只能尽量多的去补页。
针对存放程序代码的服务器中节点和目录项丢失的情况，若节点或目录项有残留，可以尝试去补齐节点和目录项。由于部分文件的节点和目录项同时丢失，根据节点和目录项之间相关联的特性，这种情况下无法补齐节点和目录项。再者程序代码文件不具备一定的规律性，若其数据区丢失，则无法补齐。
恢复出的部分目录结构：

北亚企安数据恢复——虚拟机数据恢复

北亚企安数据恢复——虚拟机数据恢复

8、尝试对虚拟磁盘文件及其中的数据库文件进行尽可能的修补之后，由用户方对恢复出来的数据进行验证。经过验证，服务器中绝大部分数据都恢复出来了，重要数据都在，用户方认可本次数据恢复结果。

审核编辑 黄宇