环境信息
用户在一台Windows2008R2虚拟机上搭建了医疗RIS生产系统。配置40G系统盘+500G数据盘,数据盘用于保存医疗CT照片。用户为虚拟机定期创建若干快照。
历史操作(通过工程师远程预检确认):
用户于2018-10-20日12:06:07,尝试将500G数据盘扩容到1TB,但错误地选择为新建虚拟磁盘,并使用生产的500G数据盘作为目标盘,这导致500G数据盘破坏,虚拟机无法启动。以下为原始虚拟机操作日志:
用户于2019-1-17联系数据修复工作室,寻求专业 数据恢复服务:
在工程师远程预检后,最终确认用户在事故发生后,仅拷贝出了44GB虚拟磁盘的快照文件,而500G原始基盘已在3个月前被彻底破坏(为方便沟通,相互加了微信):
恢复原理
因为基盘已被破坏,而原始存储已经被使用了近3个月,扫描价值很低。我们只能基于这44GB快照文件来做恢复。
首先我们了解一下VMware虚拟机的快照原理(ESXi和Workstation是一样的)。
当我们为虚拟机创建快照时,它原始的VMDK就变成基盘,成为只读状态,新的IO都会写入第1个快照文件。
如果我们再创建一个快照,那么第1个快照文件就变成基盘,成为只读状态,新的IO会写入第2个快照文件。
所以如果有快照文件,理论上我们可以恢复这段时间写入的文件。
但实际上,因为文件写入,会同时汲及inode和datablock,而对于复杂目录,还涉及到目录项,否则直接读文件,恢复出来是没有目录结构的。
恢复过程
我们通过目录项的选定结构,重构出一个虚拟的500GB文件系统,并在这个文件系统中,扫描恢复文件,并通过后期从原存储部分扫描数据辅助,最终恢复出超过84GB医疗照片:
特别注意
虚拟机一些不常用的操作,可能导致严重的后果,需要我们谨慎操作。
本案例中,难点是:
构建一个虚拟文件系统,用于支持从快照片断中恢复数据
技术支持
温馨提示:如重要数据丢失,可在行动前咨询专业工程师建议,以免数据遭到二次破坏。
直接技术支持:shop396558956.taobao.com