典型案例及专业建议

2019-04-04 10:15:11

在我们日常的数据恢复业务中，经常遇到客户在数据丢失的第一时间没有联系专业的数据恢复公司，而没有了解实际情况就对数据进行不专业的恢复操作，如此一来，给后续数据的恢复工作带来了更大的难度，更有甚者，导致数据彻底丢失无法恢复。
案例一： 服务器虚拟化
该客户为某电气设计院，与我们交接的是对方单位的IT技术人员。根据他的描述，在平台进行升级后，原来的虚拟磁盘存储空间从2TB缩小至几十个GB。客户在不了解空间变更原因的情况下，手动调节了虚拟磁盘大小，进入系统发现极大部分文件丢失，客户与我方联系之前自己尝试过自行恢复，但是没有发现任何可用文件痕迹。

我方人员到现场后，经过深入了解，判断空间缩小是平台升级过程中个别进程中断导致，客户后续的操作对数据的恢复也带来的极大地困难。对于虚拟磁盘，不管是VMware的.vmdk文件系统，还是Hyper-V的.vhdx文件系统，在创建的时候都要选择虚拟磁盘是“固定大小”还是“动态扩展”。对于“固定大小”的虚拟磁盘在数据丢失时有很大的希望能够恢复，但是“动态扩展”虚拟磁盘的数据在恢复时却有很大难度。
经过扫描之后，只能恢复出部分文件，很大一部分文件不可用。分析hex代码后发现，这些打不开的文件虽然大小未发生变化，但是每个扇区的值都被置零了。这种现象和固态硬盘数据丢失非常相似。所以当虚拟磁盘的容量发生未知变动时手动更改大小的话，最终的结果和固态硬盘格式化重写无异。这么一来，想要恢复数据就基本上不可能了。
案例二：虚拟机服务器系统无法正常启动

现在很多企业都会把服务器系统架设在虚拟机上，这么一来有很多好处，首先是在硬件性能的分配上能够很灵活的扩展，再者兼容性方面也不会有太多的烦恼。但是，因为一些企业考虑到成本问题，所以不愿意牺牲太多的存储空间来拍摄虚拟机快照并备份系统。可是虚拟机一旦系统出现问题，数据恢复的难度就会比物理机要大很多，究其原因，还是虚拟环境下的操作有很多的局限性。
这次所面临的问题就是客户虚拟机内的服务器系统启动后只有鼠标指针，不能正常显示操作界面。我们针对这一现象对成因逐一排查，并尝试多种方法修复系统。

Clt+Alt+Del组合键无反应后，使用系统安装光盘修复后失败；
更换系统目录下的Explorer.exe，未能解决问题；
执行硬盘自检语句 chkdsk c: /f /r /x ，在删除很多碎片文件后，问题未解决；
安装同一版本的系统后对系统目录进行差异拷贝，进行关键文件的替换，未解决；
替换C:WindowsSystem32config目录下的COMPONENTS, DEFAULT, SAM, SECURITY, SOFTWARE, SYSTEM文件，系统能启动，但是域信息丢失。

若只是修复操作系统并使其能够正常工作，我们有很多办法，以上是笔者在实际操作中所产生的思路，需要注意的是，在进行以上操作前一定要注意系统的备份。对于Hyper-V的.vhdx文件系统，我们可以把它装载之后克隆到物理磁盘上，这样一来可以增大操作空间。笔者尝试上述第六种办法时，虽然能使系统正常工作，但是SAM文件包含了账号信息，所以更换之后，原来的使用信息会被重置，如此一来数据也荡然无存。
案例三：热备盘未启动

目前很多企业对数据的安全性考量越来越多，所以RAID（冗余磁盘阵列）应用也越来越广泛。相对而言更多的采用RAID 5，也有采用安全级别更高的RAID 6或RAID 5+SPARE模式。这次我们所说的案例就是这个RAID 5+SPARE，客户所使用的是一个八盘位的网络存储设备，1号盘是热备盘，2~8号组建的RAID 5。
在最初8号盘预警并掉线并没有引起客户的注意，因为客户以为8号盘掉线的时候1号热备盘能顺利启动。在后续的使用中，7号盘也掉线，因为RAID 5是带有一块盘的数据保护，所以客户尝试替换七号盘进行数据重组，发现重组失败后又替换8号盘重组数据，仍旧不能成功同步，检查硬盘状态发现热备盘从最初就未启动。在我们接手后，显示分别检测了硬盘的健康状况，发现除了7和8号盘损坏，1号盘也有严重的硬件故障。所以，热备盘没起的情况下，相当于RAID 5掉线两块硬盘，这样的话数据肯定是不能自动重组的
总结
上述案例希望能给您提供解决实际问题的思路，同时也郑重提醒广大业界同仁，在您面临数据的安全存在隐患或数据丢失的风险时，一定要停止操作，并及时咨询专业的数据恢复公司。
鸿萌数据安全中心，为您的数据保驾护航！

典型案例及专业建议