某公司ESXi虚拟机严重破坏后VMFS数据恢复案例_北京安数云和

vSphere/ESXCASE SHOW

北京安数云和科技有限公司

某公司ESXi虚拟机严重破坏后VMFS数据恢复案例

来源：北京安数云和原创

作者：VMxDB

简介：某公司，一台ESXi5.5虚拟化系统，其中一个有数据的VMFS卷，因客户在安装ESXi操作系统时误操作，把这个有数据VMFS卷所在磁盘重新分区格式化了，并写入了ESXi操作系统的数据，造成VMFS卷上的数据全部丢失。客户在尝试恢复，按原始的VMFS卷从2048扇区位置重新……

浏览：

发布于：2016-05-13 11:38

某公司，一台ESXi5.5虚拟化系统，其中一个有数据的VMFS卷，因客户在安装ESXi操作系统时误操作，把这个有数据VMFS卷所在磁盘重新分区格式化了，并写入了ESXi操作系统的数据，造成VMFS卷上的数据全部丢失。
客户在尝试恢复，按原始的VMFS卷从2048扇区位置重新分区后，仍然后不能恢复数据。
后面客户经人介绍，联系到北京安数云和公司后，客户按北京安数云和公司的尹工指导，用dell H800 RAID卡接上两块3TB磁盘做了个RAID0，然后把原始VMFS卷的所在的4.4TB的LUN镜像到新做好的RAID0上，然后客户带上RAID0的硬盘直接飞到北京安数云和公司。

北京安数云和的尹工开始着手恢复数据，通过LUN底层数据分析，原始VMFS卷被破坏得非常严重。
VMFS卷的元数据分布在磁盘前1GB空间内，里面有VMFS的超级块、Inode、目录项、指针块等重要的元数据。
分析发现原始VMFS卷的超级块被覆盖、Inode数据全部被覆盖、目录部分被覆盖、指针块部分被覆盖。

由于Inode数据被覆盖，目录项覆盖与否已失去意义，只要指针块有数据，数据就可恢复。
客户提出，只需要恢复里面一台虚拟机就可，要恢复的虚拟机的虚拟磁盘大小为500GB，厚置备模式，无快照。
没有快照，而且虚拟磁盘是厚置备模式，这就省了很多麻烦了，直接使用北京安数云和公司开发的vSphere/ESX VMFS数据恢复软件(VMxDB For VMWare VMFS Recovery)来恢复数据。

通过VMxDB For VMWare VMFS Recovery软件可以看到，有个4.4TB的分区，分区格式未知。分区格式未知的原因是VMFS 超级块被覆盖，软件无法知道分区类型。
不过超级块存在与否不影响数据恢复。

使用VMxDB For VMWare VMFS Recovery软件的扫描类型4 " Scan damaged severely storage/扫描严重损坏的存储" 的功能来扫描数据：

软件几分钟就全部扫描完成，软件列出所有扫描到的虚拟磁盘的OS类型和虚拟磁盘/快照文件的大小和其它信息了：

软件扫描到3个500GB的虚拟磁盘，全部恢复出来，用常用的数据恢复软件，如WinHex、R-Studio软件打开恢复出来的500GB的VMDK文件就能看到里面的数据了：

客户需要的虚拟磁盘就是其中一个500GB的VMDK文件，客户再验证里面重要的Sql server 数据库，也一却正常。
客户表示非常满意。

北京安数云和科技有限公司 http://vmxdb.com
尹修建
13693060057

分享到： QQ空间新浪微博腾讯微博人人网网易微博

上一篇：浙江某公司VMWare ESXi5误删除虚拟机数据恢复案例

下一篇：虚拟化数据恢复之上海某公司vSphere-ESXi VMFS数据恢复案例

在线咨询