服务器数据恢复环境:
某医院存储服务器,存储了十几年的CT照片等文件的备份;
8块硬盘中的7块硬盘作为数据盘组建RAID5,1块作为热备盘。
服务器故障:
医院方发现存储服务器中的数据不正常,找过多家数据恢复服务商对故障服务器做过恢复操作,具体操作不详。
服务器数据恢复过程:
1、我们数据恢复中心接手这个case后,首先对故障服务器中所有硬盘做镜像备份。
2、基于镜像文件做检测分析,所有盘均通过异或测试,获取到7块数据盘的盘序、块大小、校验方式及热备盘。
3、经过检测发现7块数据盘组建的近2TB的数据只有一个区,而且这个分区刚刚被格式化过。据此可以推断:要么故障服务器中的RAID5被强制上线后格式化;要么就是原始RAID5没有损坏,只是被格式化过。
4、文件系统被格式化为NTFS,逻辑卷前几个G的空间内一定存在大量用户FILE RECORD,如果可以找到这些文件,应该就可以恢复文件。
5、尝试在逻辑卷前几个G的空间内寻找用户FILE RECORD,结果一无所获。出现这种情况有两种可能:一是被重新初始化后再格式化;二是$MFT不在分区前面或者数据分区位置很靠后。
6、试图在其中一块盘中查找所有可知的FILE RECORD,在50%左右的空间区域内发现大量的FILE RECORD。经过分析后竟然发现原来的盘序、块大小及热备盘和之前分析的结果都不相同,盘序更是相差很多。
7、返回每块盘前面物理地址进行观察,发现所有盘前2G的数据几乎都为0。结合前面所有的分析结果,北亚数据恢复工程师最终判定了用户的操作:RAID发生异常后,用户将部分硬盘取出但未标记盘号,重新插回硬盘后开始初始化。当硬盘开始写操作后发现情况不对,马上对服务器进行了关机操作,重启服务器后发现RAID似乎又正常了。进入系统后发现逻辑卷空了,于是又对其进行了格式化。
8、重新分析RAID信息,因分区太大无法重组,北亚数据恢复工程师只能手工修改部分数据并导出,最终恢复出50%左右的数据。其余数据因FILE RECORD丢失无法找到名称与目录,对医院而言,即使恢复出这些无法找到名称与目录的数据也没有意义。