虚拟化数据恢复——Hyper-V虚拟机数据恢复案例-德赢Vwin官网网

虚拟化数据恢复环境：
Windows Server操作系统服务器上部署Hyper-V虚拟机环境。虚拟机的硬盘文件和配置文件存放在一台存储中，该存储上有一组由4块硬盘组建的raid5阵列，除此之外，还有一块单盘存放档虚拟机的备份文件。

虚拟化故障&检测：
存储中存放的虚拟机数据文件丢失，导致整个Hyper-V服务瘫痪，虚拟机无法使用。
北亚企安数据恢复工程师达到现场后，对故障虚拟化环境做了以下检测：
1、对服务器和存储进行物理故障检测，经过检测没有发现设备存在物理故障，硬盘均正常读取和工作。
2、对服务器操作系统进行检测：检测结果为操作系统工作正常，未发现错误进程，排除操作系统问题。
3、对丢失数据的硬盘的文件系统进行检测：文件系统打开正常，杀毒软件检测正常。经过检测发现文件系统的元文件创建时间（文件系统的创建时间）与数据丢失的时间一致。这种表现意味着：文件系统被人为重写，即分区被格式化了。
4、对系统日志进行检测：发现数据丢失的当天以及之前的系统日志被清空，审核日志和服务日志却还存在。这种表现意味着此操作是人为造成的。格式化分区的操作只记录在系统日志中，符合人为破坏的特征。
5、尝试恢复系统日志：仔细分析硬盘底层数据，发现硬盘底层中需要恢复的系统日志已被新的日志记录覆盖，无法恢复。
6、对操作系统中的所有分区进行分析：发现只有存储中的两个分区被重新写入文件系统了。两个分区的格式化需要两个独立的过程来完成，这种针对性的操作应该是人为的。

虚拟化数据恢复过程：
1、将故障存储中所有的硬盘做好标记，从槽位上拔出，经硬件工程师检测没问题。以只读方式将所有磁盘进行扇区级全盘镜像，镜像完成后将所有磁盘按照原样还原到原存储中，后续的数据分析和数据恢复操作都基于镜像文件进行，避免对原始磁盘数据造成二次破坏。
备份硬盘数据：

北亚企安数据恢复—Hyper-V数据恢复

2、基于镜像文件分析所有硬盘底层数据，获取重组RAID5所需要的相关信息（条带大小，条带走向、盘序）等信息。根据上述获取到的信息重组RAID。
重组RAID：

北亚企安数据恢复—Hyper-V数据恢复

打开阵列：

北亚企安数据恢复—Hyper-V数据恢复

3、分析硬盘底层数据，发现着许多以前文件系统的目录项及文件索引残留。经过核对发现这些文件索引指向的数据都是用户丢失的文件内容。北亚企安数据恢复工程师编写了一个提取文件索引项的小程序，扫描&提取所有存在的文件索引项。
4、分析扫描到的文件索引项，发现这些索引项都是不连续的且大多是以16K或8K对齐的。正常情况下，文件索引项是连续的且大小为固定的1K，每个文件索引项对应一个文件或目录。扫描出来的这些不连续且不完整的文件索引项无法正常索引到文件的内容，需要对这些扫描出来的文件索引项进行处理。
文件索引项截图：

北亚企安数据恢复—Hyper-V数据恢复

5、找到所有的文件索引项后根据文件索引项的编号将其拼接成目录结构。虽然有部分文件索引项被破坏，但是找到大部分文件索引项已经足够拼接出目录结构了。
扫描到的文件索引项碎片：

北亚企安数据恢复—Hyper-V数据恢复

6：将重建好的目录结构和现有文件系统中的目录结构进行替换，修改部分校验值，然后对这个目录结构进行解释即可看到丢失的数据。
解释出来的目录结构：

北亚企安数据恢复—Hyper-V数据恢复

验证数据的正确性：将其中一个比较新的VHD文件恢复出来，然后将其拷贝到一台支持附加VHD的服务器上，尝试附加此VHD。结果附加成功，检查VHD中最新数据是否完整。如果数据是完整的，就将所有数据恢复到一块硬盘中。
恢复出来的虚拟机数据文件：

北亚企安数据恢复—Hyper-V数据恢复

7、在一台测试服务器上搭建Hyper-V的环境。将恢复出来的虚拟机文件连接到这台服务器上，然后通过导入虚拟机的方式将恢复出来的数据迁移到新的Hyper-V环境。让用户方验证所有虚拟机是否完整。
虚拟机导入的过程：

北亚企安数据恢复—Hyper-V数据恢复

8、用户方经过验证，确认所有虚拟机没有问题。将所有数据拷贝到用户方准备好的服务器中，然后利用导入的方式将虚拟机导入到用户方准备好的Hyper-V环境中。需要以下面的方式导入虚拟机，导入后没有出现报错。启动所有虚拟机，所有虚拟机启动都没问题。

北亚企安数据恢复—Hyper-V数据恢复

审核编辑黄宇

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表德赢Vwin官网网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

数据恢复

数据恢复

+关注

关注
10

文章
568

浏览量
17432
虚拟化

虚拟化

+关注

关注
1

文章
371

浏览量
29790
虚拟机

虚拟机

+关注

关注
1

文章
914

浏览量
28158

Hyper-V创建虚拟机配置IP等网络配置原理(Linux、Windows为例)

大家知道Windows系统里面内置了Hyper-V管理器，用来创建和管理本地虚拟机环境。今天我创建了两台虚拟机，一台是CentOS7.9（Linux），另一台是Windows 11，然后发现

发表于 12-09 10:24 •343次阅读

<b class='flag-5'>Hyper-V</b>创建<b class='flag-5'>虚拟机</b>配置IP等网络配置原理(Linux、Windows为例)

虚拟化数据恢复—误还原Vmware虚拟机快照的数据恢复案例

虚拟化数据恢复环境：一台虚拟机从物理机迁移到ESXI虚拟

发表于 11-12 12:23 •146次阅读

虚拟化数据恢复—XenServer虚拟机数据恢复案例

Server操作系统虚拟机，该虚拟机有2块虚拟磁盘（系统盘+数据盘），当作网站服务器使用。服务器虚拟

发表于 11-08 10:32 •138次阅读

虚拟机数据恢复—异常断电导致XenServer虚拟机不可用的数据恢复案例

虚拟机数据恢复环境：某品牌服务器通过同品牌某型号的RAID卡，将4块STAT硬盘为一组RAID10阵列。上层部署XenServer虚拟化

发表于 10-21 14:17 •190次阅读

服务器数据恢复—意外断电导致虚拟机虚拟磁盘损坏的数据恢复案例

服务器数据恢复环境：一台服务器中有一组由4块STAT硬盘通过RAID卡组建的RAID10阵列，上层是XenServer虚拟化平台，虚拟机

发表于 09-10 17:25 •335次阅读

虚拟化数据恢复—EXSI虚拟机误还原快照如何恢复数据？

还原快照的数据恢复案例。虚拟化数据恢复环境：一台由物理

发表于 09-09 11:56 •361次阅读

虚拟机数据恢复—KVM虚拟机被误删除的数据恢复案例

虚拟机数据恢复环境： Linux操作系统服务器，EXT4文件系统。服务器中有数台KVM虚拟机。 虚拟机1：主

发表于 08-07 13:33 •446次阅读

虚拟化数据恢复—Hyper-V服务瘫痪导致虚拟机无法使用的数据恢复

一台服务器上部署的Hyper-V虚拟化平台，虚拟机的硬盘文件和配置文件放在一台某品牌MD3200存储中。该存储中有一组由4块硬盘组建的raid5磁盘阵列，还有一块大容量硬盘存放

发表于 07-31 11:56 •316次阅读

虚拟化数据恢复—XenServer虚拟化平台数据恢复案例

虚拟化数据恢复环境：某品牌R720服务器，4块STAT硬盘通过H710P阵列卡组建了一组raid10磁盘阵列。服务器上部署XenServer虚拟

发表于 07-30 13:18 •255次阅读

服务器数据恢复—EMC Isilon存储中虚拟机数据恢复案例

服务器存储数据恢复环境： EMC Isilon S200集群存储，共三个节点，每节点配置12块SATA硬盘。服务器存储故障：工作人员误操作删除虚拟机，虚拟机中

发表于 06-13 13:38 •387次阅读

服务器数据恢复—KVM虚拟机raw格式磁盘文件数据恢复案例

服务器数据恢复环境：一台服务器安装Linux操作系统+EXT4文件系统。服务器上运行数台KVM虚拟机，每台虚拟机包含一个qcow2格式的磁盘文件和一个raw格式的磁盘文件。

发表于 05-17 13:33 •439次阅读

虚拟化数据恢复—虚拟机误还原快照的数据恢复案例

有一台虚拟机是由物理机迁移到ESXI上面的，迁移完成后为该虚拟机做了一个快照。虚拟机上运行了一个SQL Server数据库，记录了5年左右的

发表于 05-11 11:07 •545次阅读

服务器数据恢复—VMware虚拟机无法启动的数据恢复案例

服务器数据恢复环境：某品牌EVA某型号存储中部署VMware ESXi虚拟化平台，数据盘（精简模式）+快照

发表于 05-06 13:26 •506次阅读

虚拟机数据恢复—EXT4文件系统下KVM虚拟机数据恢复案例

文件和一个raw格式的磁盘文件，用户需要恢复的数据是raw格式的磁盘文件。这几台被误删除的虚拟机存放的是数据库，程序代码等数据。

发表于 04-17 14:22 •375次阅读

【服务器数据恢复】Hyper-V虚拟化服务瘫痪的数据恢复案例

Windows Server操作系统服务器，部署Hyper-V虚拟化环境，虚拟机的硬盘文件和配置文件存放在某品牌MD3200存储中，MD3200存储中有一组由4块硬盘组成的raid5阵

发表于 01-10 16:41 •539次阅读