EMC Isilon存儲結構：
Isilon群集存儲系統使用的是分布式文件系統OneFS。Isilon群集存儲系統的每個節點均為單一OneFS文件系統，Isilon在進行橫向擴展時不會影響數據的正常使用。Isilon群集存儲系統所有節點在工作時都提供相同的功能，節點沒有主備之分。Isilon群集存儲系統在存儲文件時，OneFS層會將文件分成128K的片段分別存放到不同的節點中，節點層又會將128K的片段分成8K的小片段分別存放到該節點的不同硬盤中，用戶文件的Indoe信息、目錄項及數據MAP則會分別存放在所有節點中。Isilon群集存儲系統的這個特性可以讓用戶從任何一個節點訪問到所有數據。Isilon群集存儲系統在初始化時會讓用戶選擇相應的存儲冗余模式，不同的冗余模式所提供的數據安全級別也不一樣（默認3個節點采用N+2:1模式）。

北亞企安數據恢復——OneFS數據恢復

服務器數據恢復環境：
EMC Isilon S系列群集存儲系統，3個節點，每個節點配置12塊STAT硬盤。該存儲系統存放的數據是vmware虛擬機（WEB服務器）和視頻文件。vmware虛擬機通過NFS協議共享到ESX主機，視頻文件通過CIFS協議共享給vmware虛擬機（WEB服務器）。

北亞企安數據恢復——OneFS數據恢復

服務器故障：
管理員由于誤操作將該存儲系統中NFS協議共享的vmware虛擬機、MSSQL數據庫以及大量的MP4、ASF和TS類型的視頻文件刪除。

服務器數據恢復過程：
1、通過Isilon的web管理界面的集群關閉功能將存儲設備正常關機，將存儲系統中所有硬盤編號取出。由硬件工程師對所有磁盤進行硬件故障檢測，經過檢測所有磁盤均可正常讀取，無物理故障。以只讀方式將所有磁盤做全盤鏡像，后續數據分析和數據恢復操作都基于鏡像文件進行，避免對原始磁盤數據造成二次破壞。鏡像完成后將所有磁盤按照編號還原到存儲設備中。

北亞企安數據恢復——OneFS數據恢復

2、基于鏡像文件分析所有硬盤中的數據。由于數據是被人為手動刪除的，不用考慮存儲的冗余級別。需要分析的是文件被刪除后文件Indoe及數據MAP是否發生變化。
3、經過溝通和分析，發現被刪除的虛擬磁盤文件都在64G或以上，并且存儲中沒有其他類型的大文件。北亞企安數據恢復工程師編寫文件Indoe掃描程序，將文件大小64G或以上的Indoe都掃描出來。
4、對掃描出來的Indoe進行分析，發現Indoe中記錄的數據MAP位置，其index指向的內容已不再是正常的數據。所有節點上的Indoe均是同樣的情況。
5、繼續分析Inode，發現大文件的數據MAP有多層（樹結構），數據MAP中會記錄文件的唯一ID，可以嘗試找到文件最底層的數據MAP。對文件最底層的數據MAP做遍歷跟蹤操作，所幸找到最低層的數據MAP。
6、從文件Inode中取出文件的唯一ID，聚合所有符合該ID的數據MAP。根據數據MAP中的VCN號做排序，發現每個文件的前一萬多項數據MAP都不存在，意味著每個文件的前一萬多項數據沒法恢復。
7、丟失的數據MAP項大小不到1G，被刪除的文件全是虛擬機的vmdk文件，里面都是NTFS文件系統，而NTFS文件系統的MFT基本都在3G的位置。只需要在每個vmdk文件的頭部手動偽造一個MBR和DBR就可以解釋vmdk里面的數據。
8、對掃描到的數據MAP做解釋，并根據VCN號的順序導出數據，沒有MAP的情況保留為零。先導出一個vmdk文件做測試，結果導出的vmdk文件比實際情況要小，并且vmdk中MFT的位置也與自身描述不符。隨機驗證了幾個MPA發現都能指向數據區，程序解釋MAP的方式也都沒有問題。所以猜測可能為文件稀疏。
9、將代碼進行調整后重新導出剛才的vmdk，這次導出的vmdk大小符合實際大小，且MFT的位置也與描述相符。手工偽造一個MBR、分區表和DBR，使用北亞企安自主開發的文件系統解釋工具解釋其文件系統，然后導出vmdk里面的數據庫及視頻文件。
10、對vmdk中的數據庫及視頻文件進行驗證沒有發現問題后，批量導出所有vmdk文件，再手工逐個去修改每個vmdk文件。

北亞企安數據恢復——OneFS數據恢復

11、將所有數據恢復出來之后，交由用戶方工程師對數據做完整性及準確性檢測，經過反復檢測，確認恢復出來的數據完整有效。本次數據恢復工作完成

審核編輯黃宇