【服务器数据恢复】RAID5强制上线后又被格式化的数据恢复案例

服务器数据恢复环境：
某医院存储服务器，存储了十几年的CT照片等文件的备份；
8块硬盘中的7块硬盘作为数据盘组建RAID5，1块作为热备盘。

服务器故障：
医院方发现存储服务器中的数据不正常，找过多家数据恢复服务商对故障服务器做过恢复操作，具体操作不详。

服务器数据恢复过程：
1、我们数据恢复中心接手这个case后，首先对故障服务器中所有硬盘做镜像备份。
2、基于镜像文件做检测分析，所有盘均通过异或测试，获取到7块数据盘的盘序、块大小、校验方式及热备盘。
3、经过检测发现7块数据盘组建的近2TB的数据只有一个区，而且这个分区刚刚被格式化过。据此可以推断：要么故障服务器中的RAID5被强制上线后格式化；要么就是原始RAID5没有损坏，只是被格式化过。
4、文件系统被格式化为NTFS，逻辑卷前几个G的空间内一定存在大量用户FILE RECORD，如果可以找到这些文件，应该就可以恢复文件。
5、尝试在逻辑卷前几个G的空间内寻找用户FILE RECORD，结果一无所获。出现这种情况有两种可能：一是被重新初始化后再格式化；二是$MFT不在分区前面或者数据分区位置很靠后。
6、试图在其中一块盘中查找所有可知的FILE RECORD，在50%左右的空间区域内发现大量的FILE RECORD。经过分析后竟然发现原来的盘序、块大小及热备盘和之前分析的结果都不相同，盘序更是相差很多。
7、返回每块盘前面物理地址进行观察，发现所有盘前2G的数据几乎都为0。结合前面所有的分析结果，北亚数据恢复工程师最终判定了用户的操作：RAID发生异常后，用户将部分硬盘取出但未标记盘号，重新插回硬盘后开始初始化。当硬盘开始写操作后发现情况不对，马上对服务器进行了关机操作，重启服务器后发现RAID似乎又正常了。进入系统后发现逻辑卷空了，于是又对其进行了格式化。
8、重新分析RAID信息，因分区太大无法重组，北亚数据恢复工程师只能手工修改部分数据并导出，最终恢复出50%左右的数据。其余数据因FILE RECORD丢失无法找到名称与目录，对医院而言，即使恢复出这些无法找到名称与目录的数据也没有意义。