一、数据恢复备份
为防止对客户原始磁盘内数据造成破坏,首先分别对各磁盘进行镜像拷贝(在进行分析后确定热备未启用,剔除热备盘和存储系统盘)小编以往的数据恢复案例中都要对备份进行介绍,这里就不再赘述过程了。二、分析磁盘底层数据并重组RAID恢复数据
数据恢复第一步即分析阵列底层的数据情况,根据磁盘底层元信息记录信息,确定了每块磁盘所在的盘序及功能(数据/校验),同时确定无离线盘无需校验信息,剔除校验盘。三、提取卷内数据
NetApp所使用的文件系统为WAFL,在本案例中文件系统采用了高版本模式。填写配置文件,使用数据恢复公司自主研发解析程序进行解析:在数据提取完成后由数据恢复工程师对提取的数据进行文件自检验,检验文件数据过程中发现数据文件异常,数据恢复工程师对数据进行二次分析发现部分数据块由于指针异常被填充。如下图:
此类指针在以往的数据恢复过程中未曾出现,请教了经验丰富的数据恢复工程师后表示在数据恢复从业经历中也没有遇见过这类指针,所以并没有现成的数据恢复方案可解决这个故障,技术主管将该数据恢复案件移交给数据恢复中心的非常规业务技术攻关小组进行技术攻关。
四、数据还原
经过数据恢复技术攻关小组分析测试后得出结论为:此类指针为压缩占用标志,并给出解压算法。根据解压算法编写数据解压程序,对已提取数据进行解压验证。在解压过程中随时对出现的部分异常情况进行程序调整,随时完善解压算法,最终得到完整可用解压程序。经验证程序可用,解压后的虚拟机VMDK可正常解析并导出文件。数据恢复工程师将提取出来的文件样本送交客户进行检验,检验结果为正常。
数据恢复工程师按照这个思路继续调整数据提取程序,添加目录块解析模块以及解压模块,提取用户卷内所有文件,进行批量数据恢复操作。