1、故障環境

　　故障環境為Windows Server 2012伺服器，系統中部署了Hyper-V虛擬機器環境，虛擬機器的硬碟檔案和配置檔案放在DELL MD3200儲存中（注：硬碟600G*4，4T*1）。MD3200儲存是由4塊600G硬碟組成的陣列，用作儲存虛擬機器的資料檔案。單塊4T硬碟用作虛擬機器資料檔案的備份。

2、故障分析

　　由於MD3200儲存中虛擬機器的資料檔案丟失，導致整個Hyper-V服務癱瘓，虛擬機器無法使用。因此要以如下流程進行資料檢測：

　　1、對MD3200儲存伺服器進行物理檢測，發現儲存並未出現物理故障，涉事硬碟均正常工作。

　　2、檢查作業系統：工作正常中，未發現出錯程序，排除因作業系統BUG導致的資料丟失。

　　3、分析丟失資料硬碟的檔案系統：開啟正常，不符合病毒破壞的表現特徵，同時經防毒軟體檢測無病毒。再仔細分析硬碟的檔案系統，發現此檔案系統的原始檔建立時間為11月28日，表明檔案系統的建立時間為11月28日，與資料丟失的時間相吻合。通常這種故障表明：檔案系統被人為重寫了，即分割槽被格式化了。

　　4、檢查系統日誌：發現系統日誌11月28號之前以及當天的系統日誌已被清空，稽核日誌和服務日誌卻並未清空。通常情況下，此操作應該由人為導致。而格式化分割槽的操作只記錄在系統日誌中，這與上述人為破壞的表現相符。

　　5、嘗試恢復系統日誌：仔細分析硬碟底層資料，發現硬碟底層中需要恢復的系統日誌已被新的日誌記錄覆蓋，無法恢復。

　　6、分析作業系統中的所有分割槽：發現只有MD3200儲存中的兩個分割槽的檔案系統被重新寫入檔案系統了。通常情況下，對兩個分割槽的格式化需要有兩個獨立的過程，因此這種針對性的操作應該由人為導致。

3、導致故障的常見途徑

　　1、通過在分割槽上“右鍵”，選擇“格式化”按鈕，可以格式化選中的分割槽。

　　2、在開始選單“執行”中輸入“cmd”命令進入到命令列模式，然後使用FORMAT命令，可以格式化指定分割槽。

　　3、建立一個bat檔案，在檔案中寫入格式化的命令，然後執行bat檔案可以格式化指定分割槽。

　　4、因為有兩個獨立的檔案系統資料丟失，故上述的流程可能被執行了多次。應該因人為操作導致。

二、解決方案概述

　　根據前期的故障分析結果，總結出以下解決方案：

　　1、備份使用者資料，對丟失資料的硬碟，做全盤備份，以確保資料的安全性。

　　2、分析每個硬碟的資料，根據分析的結構重組RAID 陣列。

　　3、分析重組完的陣列，看能否找到原有的檔案索引項及對應的資料區。

　　4、核對查到的檔案索引項是否符合使用者資料，並核對相應的資料區有無破壞。

　　5、根據掃描到的檔案索引項碎片，將其拼接成一個完整的目錄結構。

　　6、根據拼接好的目錄項去底層恢復對應的資料，並檢查資料是否正確。

　　7、核對資料沒問題後恢復所有資料。

三、實施解決方案

1、備份使用者資料

　　由於資料全部都放Dell M3200儲存中，因此只需要恢復Dell M3200儲存中的資料即可。將Dell M3200儲存中所有的硬碟標上編號，然後從儲存中拔下來交給硬體部門檢測硬碟是否存在物理故障。經檢測沒問題後對每塊硬碟做全盤映象，使用專用工具（Winhex）將硬碟中所有扇區映象到一塊備份硬碟中。

　2、重組磁碟陣列

　　映象完所有硬碟後，分析每塊硬碟上的資料。分析後發現4塊600G硬碟做了一個RAID5，另一塊4T硬碟是做為資料備份使用。仔細分析4塊600G硬碟中的資料結構，可以得出這個RAID 5的相關資訊，如：條帶大小，條帶走向等資訊。根據這些資訊即可重組此RAID。

　　如下圖：使用專業工具重組RAID

如下圖：是用專業工具開啟硬碟陣列的情況

3、掃描舊的檔案索引項

　　仔細分析硬碟底層資料，發現硬碟底層中還殘留著許多以前檔案系統的目錄項及檔案索引。經過仔細核對發現這些檔案索引指向的資料都是使用者丟失的檔案內容。但由於整個硬碟太大，人工去搜索檔案索引會很慢，因此編寫一個提取檔案索引項的小程式，對整個硬碟中所有存在的檔案索引項做掃描，提取所有檔案的檔案索引項。

　　4、分析掃描到檔案索引項

　　對掃描到的所有檔案索引項做詳細的分析，發現其索引項都是不連續的，並且大多都是以16K或8K對齊的。正常情況下的檔案索引項是連續的，大小為固定的1K，每個檔案索引項對應一個檔案或目錄。而掃描出來的這些不連續，並且不完整的檔案索引項是無法正常索引到檔案的內容。因此需要對掃描出來的檔案索引項做加工處理。在掃描出來的檔案索引項中搜索“VHD”，能找到一個“VHD”的檔案記錄。然後將這個片連續的檔案索引項提取出來。接著再檢視這段提取出來的檔案索引項中是否有指向下一段檔案索引項的記錄或者是H20屬性。如果有則根據檔案索引項中的特徵去匹配下一段檔案索引項，如果沒有則跳過這段檔案索引項。根據以上方法基本能查到大多數的檔案索引項片段。而缺失的檔案索引項片段有可能被破壞了，但是可以從資料備份盤中去查詢缺失的檔案索引項片段，因此基本可以搜尋到大部分的檔案索引項。

　　如下圖：是檔案索引項截圖

5、將檔案索引項組成完整的目錄結構

　　根據上述方法找到所有的檔案索引項，然後根據檔案索引項的編號將其拼接成整個目錄項結構。以下是搜尋到的部分檔案索引項，由於有部分檔案索引項被破壞，因此只能找到大部分檔案索引項，但這些檔案索引項已經足以拼接成整個目錄結構了。

　　如下圖：是掃描到的檔案索引項碎片

　四、修復檔案系統

　　將重建好的目錄結構和現有檔案系統中的目錄結構進行替換，然後使用專業工具修改部分校驗值。再使用專業的工具解釋這個目錄結構即可看到原有丟失的資料了。

　　如下圖：是用專業工具解釋出來的目錄結構

為了確定資料是否正確，將其中一個最新的VHD檔案恢復出來。然後將其拷貝到一臺支援附加VHD的伺服器上，嘗試附加此VHD。結果附加成功，檢查VHD中最新的資料是否完整。一切檢查完整後將所有資料恢復到一塊硬碟中。

　　如下圖：是恢復出來的所有虛擬機器資料檔案

五、驗證所有資料

　　在一臺測試伺服器上搭建Hyper-V的環境，將恢復的虛擬機器檔案連線到這臺伺服器上。然後通過匯入虛擬機器的方式，將恢復的資料都遷移到新的Hyper-V環境。然後讓客戶來驗證所有虛擬機器是否完整。

　　如下圖：是虛擬機器匯入的過程

　六、遷移所有資料

　　在客戶驗證所有虛擬機器沒問題後，將所有資料拷貝至客戶伺服器中。然後利用匯入的方式將虛擬機器匯入到客戶的Hyper-V環境中。但是在匯入的過程中出現以下錯誤：

在經過查詢資料後確定匯入的方法不對，需要以下面的方式匯入虛擬機器：

重新匯入後沒有報錯，匯入成功的截圖如下：

嘗試啟動所有虛擬機器，所有虛擬機器啟動都沒問題。截圖如下：

七、資料恢復結論

　　資料恢復成功。

　　八、專案成員