NTFS是windows操作系统服务器应用最为广泛的文件系统之一。理论上,NTFS文件系统格式化操作虽然不会对数据造成太大的影响,但是有可能会出现部分文件目录结构丢失的情况。下面介绍一台服务器误操作导致raid5阵列上层的NTFS分区被格式化后如何逆向操作恢复服务器数据的案例。
服务器数据恢复过程:
1、将故障服务器所有硬盘编号后取出,由硬件工程师检测排除硬盘存在硬件故障的情况,以只读方式将所有磁盘做扇区级的镜像备份,备份完成后按照编号将所有磁盘还原到原服务器中,后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、基于镜像文件分析底层数据。通过查看数据的0-2扇区搞清楚出这台服务器的分区大小是多少个扇区。按照RAID5的计算模式,使用该扇区数除以服务器内实际硬盘数量(除去校验盘)得到一个扇区数。直接跳转到该扇区,在这个扇区的附近可以查找到另一个GPT分区表,这样就可以查看分区的大小。例如一组6块盘的raid5阵列,分区大小为1048309759扇区,用1048309759÷5=209661951扇区。工作界面(GPT分区表项底层表现,标记项前8个字节为分区起始扇区,之后8个字节为分区结束扇区,单位512字节/扇区,64bit):
3、重组raid阵列。只要分析出raid5阵列成员盘的数量和raid走向就可以重组raid5阵列。由于恢复的是NTFS文件系统下的数据,因此只需要找到分区的文件记录项,根据NTFS文件系统中的MFT顺序就可以查看raid5的条带大小和raid走向。
4、根据分析出来的RAID结构重组RAID。重组RAID后已经可以看见丢失的数据,但是出现部分文件目录结构丢失的情况,好在经过用户方的检测确认数据基本上都恢复出来了,后期只能通过人工处理丢失的部分文件目录结构问题。
文件目录丢失情况:
虽然理论上NTFS分区格式化对数据影响不是很大,一般格式化后数据保留的较为完整,恢复几率较大,但是可能会碰到部分文件目录结构可能丢失。北亚企安数据恢复工程师在这里提醒:服务器和存储中的数据要及时备份,尽可能减少服务器数据丢失带来的损失。
