干事器数据归附环境：北京某公司的EMC NAS，悉数有3个节点，每个节点设立12块STAT硬盘。NAS中存放有vmware造谣机（WEB 干事器）和视频文献。造谣机通过NFS契约分享到ESX主机国产 探花，视频文献通过CIFS契约分享给造谣机（WEB干事器）。

黑丝足交

干事器故障：由于职责主谈主员误操作将包括MSSQL数据库，大批MP4、ASF和TS面容的视频文献删除。NFS分享的所独特据（造谣机）被删除而CIFS分享的数据则莫得被删除。干事器数据归附经过：1、对故障存储中系数硬盘以只读时势进行全盘镜像。后续的数据分析和数据归附操作齐基于镜像进行，幸免对原始数据酿成二次滋扰。2、基于镜像文献分析系数硬盘中的数据。由于数据是被东谈主为删除的，需要分析文献被删除后，文献的Indoe及数据MAP是否发生变化。3、由于被删除的造谣磁盘文献大小齐在64G巧合以上，而且存储中莫得其他类型的、文献大小提高64G的大文献。北亚企安数据归附工程师编写Indoe扫描递次，将大小适合64G或以上的文献的Indoe齐扫描出来。4、分析扫描出来的Indoe，找出数据MAP位置，其index指向的内容不是泛泛数据，而且系数节点上的Indoe均是相同的情况。5、分析Inode，发现大文献的数据MAP会有多层（树结构），而且数据MAP中会记载文献的唯独ID，因此不错尝试找到文献最底层的数据MAP。6、对文献最底层的数据MAP作念遍历追踪操作后发现最低层的数据MAP果然还在。

7、从文献的Inode取出文献的唯独ID，团聚系数适合该ID的数据MAP。字据数据MAP中的VCN号排序，发现每个文献的前17088项数据MAP齐不存在，这意味着每个文献的前17088项数据没法归附。8、经过换算发现丢失的数据MAP项悉数包含不到1G的数据，而删除的文献全是造谣机的vmdk文献，里面领受的NTFS文献系统，而NTFS文献系统的MFT基本齐在3G的位置，也即是只需要在每个vmdk文献的头部手动伪造一个MBR和DBR就不错诠释注解vmdk里面的数据。9、诠释注解扫描到的数据MAP，字据VCN号的规矩导出数据，莫得MAP的情况就保留为零。经过不休的测试，尝试导出一个vmdk文献，发现导出的vmdk文献比实质情况要小，而且vmdk中MFT的位置也与自己描绘不符。10、随即考证几个MAP发现齐能指向数据区，递次诠释注解MAP的时势也齐莫得发现问题。是以初步判断出现这种情况的原因可能是文献寥落。11、转化代码后重新导出刚才的vmdk文献，此次vmdk文献大小适合实质，且MFT的位置正确。手工伪造一个MBR、分区表以及DBR国产 探花，使用北亚企安自主建立的文献系统诠释注解递次告捷诠释注解其文献系统，导出该vmdk文献里的数据库及视频文献。12、考证此vmdk中的数据库及视频文献莫得问题后，批量导出系数的vmdk文献，再手工修改每个vmdk文献。直至归附出系数用户需要的数据。干事器数据考证：将系数伏击数据归附完成后，由用户方安排工程师对归附出来的数据作念圆善性及准确性考证。经过反复考证测试，用户方证实数据圆善灵验。本次数据归附职责完成。

---