服務器數據恢復環境：
某公司一臺服務器，使用FreeNAS做iSCSI，借助另外兩臺服務器做虛擬化系統。此虛擬化系統安裝有5臺虛擬機，其中3臺虛擬機比較重要：一臺虛擬機部署了ASP.net、PHP，安裝了SqlServer和mysql數據庫；另一臺安裝的FreeBSD系統并部署了MySQL數據庫；一臺虛擬機存儲的是代碼和數據。
FreeNAS層采用的是UFS2文件系統；服務器建一個文件然后掛載到ESXi系統。

服務器故障：
服務器意外斷電后重啟，虛擬化系統無法連接服務器，UFS2文件系統出現問題，管理員試圖修復文件系統，但是完成修復后ESXi系統無法識別原有的數據和文件系統。

服務器數據恢復過程：
1、分析本案例的應用構架層次：FreeNAS(UFS2文件系統–> 一個大的稀疏模式的文件) –> ESXi(VMFS文件系統層) -> 單臺虛擬機的虛擬磁盤 (windows-NTFS文件系統/FreeBSD-UFS2文件系統)。
2、對FreeNAS做完整鏡像，基于鏡像文件分析整個存儲，在存儲中只發現一個文件名為iscsidatade的大文件。
3、根據UFS2文件系統的二進制結構定位到iscsidata文件的Inode數據，發現iscsidata文件被重建過，inode指針指向的數據量很少。
Tips：如果FreeNAS層問題無法解決，就無法進入到下一步的VMFS層分析。
UFS2文件系統相關信息：
塊大小：16KB
Segment大小：2KB
柱面組大小：188176 KB
UFS2文件系統的一個數據指針占用8字節，一個塊可存儲2048個數據指針，一個二級指針塊則可存儲2048*2048*16KB= 64GB的數據。一個三級指針塊則可存儲64GB*2048=128TB的數據。如果能找到iscsidata文件的三級指針塊就能解決FreeNAS層問題。但iscsidata文件被重建過，估計有部分指針塊已被覆蓋。
原iscsidata文件的inode和新建的iscsidata文件的inode就在同一個位置，嘗試搜索沒有發現其它有用的inode。北亞企安數據恢復工程師只能編寫程序來收集有用的指針塊：

北亞企安數據恢復——ESXi數據恢復

4、由于該iscsidata文件采用的是稀疏模式，放寬收集條件后收集到了大量的三級指針塊和二級指針塊。經過分析后發現這些收集到的三級指針塊都是無效的，沒有發現iscsidata文件使用的三級指針塊，估計在新建iscsidata文件時被覆蓋（新的iscsidata文件掛載到ESXi后有個VMFS格式化過程，而 該ESXi版本使用的是GPT分區，GPT分區會在磁盤最后寫入冗余的GPT頭和分區表信息數據，會使用iscsidata文件的三級指針塊）。
5、分析收集到的二級指針塊，對有大量二級指針塊的指向數據進行DUMP，再從磁盤中的數據定位到二級指針，通過這種方式得到大量DUMP的數據。
6、VMFS被重新格式化過，原UFS2文件系統的指針已丟失，所以VMFS元文件不可用。只能通過單臺虛擬機層(windows(NTFS)和FreeBSD(UFS2)系統的文件系統結構)向上定位到VMFS層，再通過VMFS層定位到DUMP出的單個64GB文件。通過多次組合，最終將三臺重要虛擬機的虛擬磁盤完全恢復。將恢復出的網頁數據和數據庫數據上傳到準備好的環境中，起應用后沒有發現問題。

北亞企安數據恢復——ESXi數據恢復

審核編輯黃宇