服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
某醫(yī)院存儲(chǔ)服務(wù)器，存儲(chǔ)了十幾年的CT照片等文件的備份；
8塊硬盤中的7塊硬盤作為數(shù)據(jù)盤組建RAID5，1塊作為熱備盤。

北亞數(shù)據(jù)恢復(fù)——RAID5數(shù)據(jù)恢復(fù)

服務(wù)器故障：
醫(yī)院方發(fā)現(xiàn)存儲(chǔ)服務(wù)器中的數(shù)據(jù)不正常，找過(guò)多家數(shù)據(jù)恢復(fù)服務(wù)商對(duì)故障服務(wù)器做過(guò)恢復(fù)操作，具體操作不詳。

服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程：
1、我們數(shù)據(jù)恢復(fù)中心接手這個(gè)case后，首先對(duì)故障服務(wù)器中所有硬盤做鏡像備份。
2、基于鏡像文件做檢測(cè)分析，所有盤均通過(guò)異或測(cè)試，獲取到7塊數(shù)據(jù)盤的盤序、塊大小、校驗(yàn)方式及熱備盤。
3、經(jīng)過(guò)檢測(cè)發(fā)現(xiàn)7塊數(shù)據(jù)盤組建的近2TB的數(shù)據(jù)只有一個(gè)區(qū)，而且這個(gè)分區(qū)剛剛被格式化過(guò)。據(jù)此可以推斷：要么故障服務(wù)器中的RAID5被強(qiáng)制上線后格式化；要么就是原始RAID5沒(méi)有損壞，只是被格式化過(guò)。
4、文件系統(tǒng)被格式化為NTFS，邏輯卷前幾個(gè)G的空間內(nèi)一定存在大量用戶FILE RECORD，如果可以找到這些文件，應(yīng)該就可以恢復(fù)文件。
5、嘗試在邏輯卷前幾個(gè)G的空間內(nèi)尋找用戶FILE RECORD，結(jié)果一無(wú)所獲。出現(xiàn)這種情況有兩種可能：一是被重新初始化后再格式化；二是$MFT不在分區(qū)前面或者數(shù)據(jù)分區(qū)位置很靠后。
6、試圖在其中一塊盤中查找所有可知的FILE RECORD，在50%左右的空間區(qū)域內(nèi)發(fā)現(xiàn)大量的FILE RECORD。經(jīng)過(guò)分析后竟然發(fā)現(xiàn)原來(lái)的盤序、塊大小及熱備盤和之前分析的結(jié)果都不相同，盤序更是相差很多。
7、返回每塊盤前面物理地址進(jìn)行觀察，發(fā)現(xiàn)所有盤前2G的數(shù)據(jù)幾乎都為0。結(jié)合前面所有的分析結(jié)果，北亞數(shù)據(jù)恢復(fù)工程師最終判定了用戶的操作：RAID發(fā)生異常后，用戶將部分硬盤取出但未標(biāo)記盤號(hào)，重新插回硬盤后開(kāi)始初始化。當(dāng)硬盤開(kāi)始寫操作后發(fā)現(xiàn)情況不對(duì)，馬上對(duì)服務(wù)器進(jìn)行了關(guān)機(jī)操作，重啟服務(wù)器后發(fā)現(xiàn)RAID似乎又正常了。進(jìn)入系統(tǒng)后發(fā)現(xiàn)邏輯卷空了，于是又對(duì)其進(jìn)行了格式化。
8、重新分析RAID信息，因分區(qū)太大無(wú)法重組，北亞數(shù)據(jù)恢復(fù)工程師只能手工修改部分?jǐn)?shù)據(jù)并導(dǎo)出，最終恢復(fù)出50%左右的數(shù)據(jù)。其余數(shù)據(jù)因FILE RECORD丟失無(wú)法找到名稱與目錄，對(duì)醫(yī)院而言，即使恢復(fù)出這些無(wú)法找到名稱與目錄的數(shù)據(jù)也沒(méi)有意義。

審核編輯 黃昊宇