「服务器虚拟化数据恢复」Xen Server环境下数据库数据恢复案例

服务器虚拟化数据恢复环境：

Dell某型号服务器；

数块STAT硬盘通过raid卡组建的RAID10；

Xen Server服务器虚拟化系统；

故障虚拟机操作系统：Windows Server，部署Web服务，存储网站文件和数据库。

服务器虚拟化故障：

未知原因导致Xen Server服务器中一台VPS（即Xen Server虚拟机）不可用，虚拟磁盘数据丢失。

服务器虚拟化数据恢复过程：

1、将故障服务器所有磁盘做好标记取出连接到北亚数据恢复平台，以底层扇区的方式做镜像备份，后续的所有数据恢复操作都在镜像备份文件上进行，避免对原始数据进行二次破坏。

2、基于镜像文件分析底层数据，北亚数据恢复工程师发现Xen Server服务器中虚拟机磁盘是以LVM结构存放，每个虚拟机的虚拟磁盘都是一个LV，都是采用的精简模式。

LVM的相关信息在Xen Server中都有记录。查看“/etc/lvm/backup/ “目录下的LVM相关信息并没有发现损坏的虚拟磁盘信息，数据恢复工程师推断LVM信息已经被更新。数据恢复工程师只好对底层进行分析查找未被更新的LVM信息，通过底层分析果然发现还未更新的LVM信息。如下图：

3、根据未被更新的LVM信息找到了虚拟磁盘的数据区域，但是该区域的数据已被破坏。经过仔细分析最终得出的结论是：虚拟机的虚拟磁盘被破坏造成虚拟机中的操作系统和数据丢失，导致虚拟机不可用。这类故障很有可能是由于虚拟机遭遇网络攻击或hack入侵后留下恶意程序造成的。数据恢复工程师仔细检测这片区域后发现虽然该区域很多数据被破坏，但留存有很多数据库的页碎片，可以尝试将这些数据库的页碎片拼接成一个可用的数据库。

4、经过北亚数据恢复工程师会诊，最终形成2个恢复方案：

方案一、恢复数据库备份。数据库做过一次备份，数据库备份文件和网站代码被一起压缩到一个RAR压缩包文件中。因此只需要恢复出这个压缩包文件即可恢复数据库和网站的源代码。

方案二：拼数据库碎片。根据数据库结构在底层将找到的数据库的页碎片按照原来的顺序拼接起来，然后对数据库进行修复和校检即可恢复数据库。

5、实施方案。

数据恢复工程师在底层根据RAR压缩包结构找到很多压缩包的数据开始位置，RAR压缩包文件的第一个扇区会记录RAR的文件名。通过匹配从用户那里获知的压缩包文件名和目前找到的压缩包文件名即可找到备份数据库压缩包的开始位置。找到压缩包的开始位置后将此区域的数据恢复出来重命名为一个RAR格式的压缩文件。然后尝试解压此压缩包，结果解压报错。报错如下图所示：

仔细分析恢复出来的压缩包，数据恢复工程师发现有部分数据被破坏。尝试使用RAR修复工具进行修复后解压，结果解压出来的数据只包含网站的部分代码，并没有在其中找到数据库的备份文件。由此可以判断数据库备份文件在RAR压缩包中是损坏的。如下是解压出来的部分网站代码：

根据SQL Server数据库的结构在底层分析数据库的开始位置，故障数据库第9个页会记录本数据库的数据库名。通过在用户获取到的数据库名称在底层找到此数据库的开始位置。因为故障数据库的每个页中都会记录数据库页编号和文件号，根据这个特征北亚数据恢复工程师编写程序在底层扫描符合数据库页的数据，然后将扫描出来的碎片按顺序重组成一个完整MDF文件，再通过MDF校验程序检测MDF文件是否完整。重建的MDF文件如下：

6、搭建环境验证数据。

检测MDF文件没有发现问题，由北亚数据库工程师搭建数据库环境，将重组的MDF文件附加到搭建好的数据库环境中。查询相关表的数据是否正常，最新数据是否存在。

验证数据：

数据库需要结合网站代码才能更好地验证数据库。由于网站源代码大部分已经破坏，备份的源代码也只有部分可以用。用户从网站开发服务商拿到网站代码重新搭建环境，然后将恢复出来的数据库在环境中配置好进行验证。经用户反复验证后确认数据库没有问题。