VMFS文件系统下删除虚拟机数据恢复方法

首先在这里介绍一下物理区和本地区是什么意思，物理区就是物理上连续的磁盘空间，即通常意义上的分区。本地区是指VMFS管理的物理区内分为保留区和本地区，前面一部分是保留区，后面部分是本地区。

本地区又分为元文件区和数据区。元文件：与NTFS的元文件类似，属于FS的管理用数据。在VMFS里有6个元文件.VH.SF/.FBB.SF/.FDC.SF/.SBC.SF/.PBC.SF/.PB2.SF。

元文件区是6个元文件占用的所有空间，在本地区的前面部分；数据区是用于存放文件数据。datastore：从ESX服务器看到的VMFS存储空间。LV：logical—volume，所指的范围其实和本地区一样。即虚拟化卷。LVM逻辑卷组：用来管理跨disk的LV，相当于VMFS的总存储空间datastore。

6个元文件的作用都有：

.VH.SF： volume header文件，承载了‘本地区(或者LV)’的大小、时间、块大小、块数等信息。

.FBB.SF：file-bitmap文件，承载了‘datastore’里的块使用情况的位图信息。

.FDC.SF：file-discriptor文件，承载了‘datastore’里所有文件、目录的结点信息。

.SBC.SF： subblock分配文件，承载了‘datastore’里所有小文件、目录的数据区。

.PBC.SF： point-block文件，指针文件，承载了大文件的额外指针（超出结点记录范围的地址）。

.PB2.SF： .PBC.SF的再扩展。

因虚拟机删除后空间被回收，数据会存在于自由空间中，根据entry中的位图将所有空闲子块全部提取出来，在自由空间中进行查找恢复，防止现有数据的干扰。虚拟机删除恢复是否可以恢复的关键依据为磁盘头部是否还存在，若存在可进行虚拟磁盘的拼接工作。

对硬盘进行检测：

对故障硬盘进行检测是否有硬件故障，如果有硬件故障，尝试对磁盘进行修复。

对硬盘镜像：

将磁盘在只读模式下进行磁盘镜像，之后恢复过程均使用镜像文件进行，防止磁盘的二次破坏。

图片一：

1、虚拟机删除之后，提取pbc自由空间

分析每块组中子块的数量，分析每个area中entry的数量，分析元文件头部的大小，分析子块大小，分析area的数量，根据entry特征值，分析entry的大小。根据entry中的位图信息，使用北亚虚拟化恢复工具提取VMFS卷的自由子块。

2、分别筛选子块

解析每个块第一条指针至数据区，意在判断丢失虚拟磁盘头部是否存在，如果存在则进行虚拟机的拼接工作。

图片二：

3、遍历所有类型的子块，判断第一条指针是否为磁盘头部

使用北亚虚拟化软件分析工具判断每个类型子块第一条在指针是否为磁盘头部，及头部类型如（MBR、GPT、EXT4、LVM、Sparse、SeSparse）等，并将判断结果保存至数据库中，数据库只记录磁盘类型和磁盘头部所在位置，需根据丢失虚拟机大小、文件系统等判断是否有符合丢失磁盘特征的头部。

图片三：

4、拼接虚拟机

对符合特征的磁盘头部进行分析，按照文件系统存储结构进行寻址拼接，计算出需要匹配数据块的特征值和该数据块在磁盘中的位置，以及特征值在数据库内的偏移位置。

根据需要修复的文件系统特征值和位置，使用自主研发的专业分析工具进行匹配符合结构的数据块。

根据匹配结果及该数据块在子块中的连续性，使用自主研发的专业分析工具将正确的数据块进行拼接。

北京北亚数据恢复中心：4006-505-646
地址：北京市海淀区中关村创客小镇16号221