服務器數據恢復環境：
一臺服務器通過FreeNAS（本案例使用的是UFS2文件系統）實現iSCSI存儲，整個UFS2文件系統作為一個文件掛載到ESXi虛擬化系統（安裝在另外2臺服務器上）上。該虛擬化系統一共有5臺虛擬機，其中有3臺虛擬機中的數據比較重要：一臺虛擬機上部署了ASP.net+SqlServer和PHP+mysql；第二臺虛擬機安裝的FreeBSD，部署了MySQL數據庫；第三臺虛擬機存放的是代碼數據。
本案例應用構架層次：FreeNAS(UFS2文件系統–> 一個大的稀疏模式的文件) –> ESXi (VMFS文件系統層) -> 單臺虛擬機的虛擬磁盤 (windows-NTFS文件系統/FreeBSD-UFS2文件系統)。

服務器故障：
作為iSCSI存儲的服務器在正常運行過程中異常斷電，重啟后虛擬化系統無法連接該服務器，FreeNAS的UFS2文件系統出現問題，管理員對UFS2文件系統進行了修復，但是ESXI虛擬化系統無法識別原有的數據和UFS2文件系統。

服務器數據恢復過程：
1、對FreeNAS層做只讀鏡像，后續的數據分析和數據恢復操作都基于鏡像文件進行，避免數據恢復操作對原始數據造成二次破壞。
2、基于鏡像文件分析整個存儲，只發現了一個文件名為iscsidata的、大小數百GB的文件。
3、根據UFS2文件系統的二進制結構定位到iscsidata文件的Inode數據，經過檢測發現該文件被重建過，inode指針指向的數據量很少，在FreeNAS層無法解決問題，所以就無法進行下一步的VMFS層分析。
4、由于iscsidata文件重建過，過程和大小都和原iscsidata文件一致，應該有部分指針塊被覆蓋。原iscsidata文件的inode和新建的iscsidata文件的inode在同一個位置，嘗試搜索沒有發現其它有用的inode。
5、北亞企安數據恢復工程師編寫程序收集有用的指針塊。

北亞企安數據恢復——FreeNAS數據恢復

由于iscsidata文件采用的稀疏模式，放寬收集條件后收集到了大量三級指針塊和二級指針塊。
6、經過分析發現所有收集到的三級指針塊都是無效的，沒有找到iscsidata文件使用的三級指針塊，應該是在新建iscsidata文件時被覆蓋。
7、分析收集到的二級指針塊并對大量的二級指針塊的指向數據進行DUMP，然后從磁盤中的數據定位到二級指針。通過這種方式獲取到大量DUMP的數據。
8、分析VMFS層。由于VMFS重新格式化過，原始UFS2的指針已丟失，所以VMFS元文件不可用。
9、通過單臺虛擬機層(windows(NTFS)和FreeBSD(UFS2)的文件系統結構)，向上定位到VMFS層，然后通過VMFS層定位到DUMP出的單個64GB文件。通過多次組合，最終將三臺重要虛擬機的虛擬磁盤完全恢復。將恢復出的網頁數據和數據庫數據上傳到準備好的系統中，拉起應用并對數據進行檢測，沒有發現任何問題。

北亞企安數據恢復——FreeNAS數據恢復

10、經過用戶方的仔細檢測后，確認3臺重要虛擬機中的數據成功恢復，認可本次數據恢復結果。本次服務器數據恢復工作完成。

審核編輯 黃宇