服务器数据恢复—Zfs文件系统数据恢复案例
服务器数据恢复环境&故障:
一台zfs文件系统的服务器,管理员误操作删除了服务器上的数据。
服务器数据恢复过程:
1、将故障服务器中所有硬盘做好标记后取出,硬件工程师检测后没有发现有硬盘存在硬件故障。以只读方式将所有硬盘中的数据进行扇区级完整镜像。镜像完成后将所有硬盘按照标记原样还原到服务器中。后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始硬盘中的原始数据造成二次破坏。
2、基于镜像文件分析所有硬盘底层数据。分析zfs文件系统结构和元信息。
3、根据服务器具体情况,北亚企安数据恢复工程师编写扫描程序,对所有硬盘底层数据进行全面扫描,扫描节点入口。
4、扫描结束后分析扫描结果,查找最新事件的入口。经过分析查找最终确认扫描结果中时间最近、目录结构最完整的节点入口。
5、解析节点指针块,提取出节点表。提取过程中发现部分指针块损坏,节点表不完整。
6、解析节点表和目录项,将文件名和目录名以及节点号、父节点号记录到数据库。
7、根据数据库中的信息以及对应关系,重建整个目录结构并提取数据。
8、因之前节点表有部分损坏,重新查找节点表完整的节点入口。最终确认时间最新且节点表完整的节点入口。
9、提取完整的节点表,并解析目录项,提取数据。
10、修复损坏的节点表 尝试修复最新时间的节点表。
11、恢复完成后,经用户方管理员的验证,确认数据恢复完整,认可本次数据恢复结果。
