黄岛论坛 - 胶南信息港

搜索
查看: 8481|回复: 0

[技巧技术] 青岛西海岸琅琊台医院 浪潮服务器 raid数据恢复成功!

[复制链接]
发表于 2018-5-21 16:44 | 显示全部楼层 |阅读模式
本帖最后由 西海岸数据恢复 于 2018-5-21 16:48 编辑

   今天有时间就把这个案例写出来与大家分享一下!
5月6日接到用户电话咨询,一台浪潮NF5225 机架服务器,开机启动不起来,联系电脑公司查看,数据全部丢失,问我们能不能帮助他们恢复里面的数据,我们告诉用户出现这种情况后,不要再反复开关服务器了,要第一时间切断电源,标记好硬盘顺序,把硬盘带到我们这里恢复!
  中午用户带过来了四块WD黑盘,这种黑盘是西数企业级的硬盘,比一般硬盘要耐用!来看们看一下图片:
1.png
第一块盘
2.png
第二块盘
3.png
第三块盘
4.png
第四块盘

来张全图看一下
q1.png
q2.png

我们先简单跟用户沟通了一下,得知这个服务器昨天还正常工作,今天上班后就不能使用了,联系了电脑公司人员上门查看后,发现里面数据都丢失了,他们试图把每块盘单接电脑,也看不到数据!
我们拿到硬盘后第一时间先上设备检测!经过测试发现四块盘都有坏道,其中有一块坏的比较严重!
我们跟用户介绍了我们的恢复方案,为了数据恢复的成功率,我们建议用户,先对这些盘进行镜像,镜像完成后,我们再对镜像分析重组数据,这样不会导致硬盘故障继续扩大!也可以最大程度的保持数据的完整性!
用户同意了我们的方案!
我们再次询问用户里面哪个分区的数据最重要,用户大体记得在D盘大约有十个左右的数据库,这些数据库是最重要的数据!记录着医院的住院出院,卖药,医保报销等信息!
到第二天中午这四块硬盘才镜像完成。
我们的第一时间进行分析四个镜像,最有可能的是raid5型存储类型!具体是raid5什么类型,还要再分析。
查看四块盘的信息发现有一块盘可能早就掉线了,我们先对他做了标注!
我们把四块硬盘分别标记为
500 501  502  503
接着分析5001 上有MBR 显示第一分区从63扇区开始 大小为:104,872,257   07 NTFS
第二分区 从1,469,551,486   0f  扩展
再到501盘的DBR 查看:显示分区大小为:104,872,256    NTFS     簇大小:8
Mft 起始簇号:786,432
也就是mft大体应该:786432 * 8 = 6291456
Raid 5 的话 大体应该在:2097152扇区

下图就是分折的数据
  
  
500
501
502
503
2097215
192
0
64
128
2097343
320
192
256
128
2097471
512
384
576
448
2097599
704
512
576
640
2097727
960
768
832
896
2097855
1,088
960
1,024
896
2097983
1,280
1,152
1,344
1,216
2098111
1,472
1,280
1,344
1,408
2098239
1,728
1,536
1,600
1,664
2098367
1,856
1,728
1,792
1,664
2098495
2,048
1,920
2,112
1,984
2098623
2,240
2,048
2,112
2,176
2098751
2,496
2,304
2,368
2,432
2098879
2,624
2,496
2,560
2,432
2099007
2,816
2,688
2,880
2,752

我们再把这个图做了重新排序
  
  
501
502
503
500
2097215
0
64
128
192
2097343
192
256
128
320
2097471
384
576
448
512
2097599
512
576
640
704
2097727
768
832
896
960
2097855
960
1,024
896
1,088
2097983
1,152
1,344
1,216
1,280
2098111
1,280
1,344
1,408
1,472
2098239
1,536
1,600
1,664
1,728
2098367
1,728
1,792
1,664
1,856
2098495
1,920
2,112
1,984
2,048
2098623
2,048
2,112
2,176
2,240
2098751
2,304
2,368
2,432
2,496
2098879
2,496
2,560
2,432
2,624
2099007
2,688
2,880
2,752
2,816

得到了正确的盘序列,也知道了块大小为128 同时还确定了raid类型为:raid5 左异步

知道了这些正确的参数,我们接着重组数据,最终数据重组成功,全部提取出来交给了用户,用户验正后正常使用!
用户数据我们就不再贴图了
到此,这个数据恢复圆满完成!!

发表回复

您需要登录后才可以回帖 登录 | 用户注册   扫一扫,用微信登录

本版积分规则

友情提示
1.请遵守国家的法律法规,不发布违法违规信息,根据国家互联网服务管理规定,使用计算机网络上传信息及其后果由上传者本人负责。
2.请尊重网络道德,不污言秽语,不侵犯他人的权利和个人隐私。任何单位或个人发现内容涉嫌侵犯其合法权益后,请反馈并提供有关证明,本网站将根据《胶南信息港胶南论坛帖文投诉处理办法》处理。
3.发帖内容系发帖者个人观点,并不代表本论坛立场。友情提醒:警惕各类中奖消息 谨防网络欺诈。
4.请遵守社区总规则和版规,不进行刷屏、恶意顶贴、恶意灌水等影响他人阅读的行为,广告请发布到分类信息。否则将被删帖且不再另行通知。

快速回复 返回顶部 返回列表