數(shù)據(jù)庫故障&分析：

SQL server數(shù)據(jù)庫數(shù)據(jù)無法讀取。

經(jīng)過初檢，發(fā)現(xiàn)SQL server數(shù)據(jù)庫文件無法被讀取的原因是因為底層File Record被截斷為0，無法找到文件開頭，數(shù)據(jù)表結構損壞。鏡像文件的前面幾十M空間和中間一部分空間被覆蓋掉，系統(tǒng)表損壞，無法讀取?？紤]用自動備份文件來提取表結構。

日志中的操作記錄：

由于系統(tǒng)表損壞，有大量數(shù)據(jù)表的結構無法確定，只能依靠數(shù)據(jù)恢復工程師的技術和經(jīng)驗嘗試進行恢復。

經(jīng)過初檢的結果，北亞企安數(shù)據(jù)恢復工程師團隊最終敲定數(shù)據(jù)恢復方案：

1、備份數(shù)據(jù)。

2、基于備份文件分析舊SQL server數(shù)據(jù)庫底層數(shù)據(jù)。

3、從舊SQL server數(shù)據(jù)庫中尋找數(shù)據(jù)表的結構。

4、從日志中提取一部分數(shù)據(jù)表的結構。

5、從日志和殘留數(shù)據(jù)中提取完好的數(shù)據(jù)。

6、根據(jù)日志恢復對應的數(shù)據(jù)，檢查數(shù)據(jù)是否正確。

7、數(shù)據(jù)核對沒有問題后恢復出所有數(shù)據(jù)。

數(shù)據(jù)庫數(shù)據(jù)恢復過程：

1、將涉及到的所有硬盤交由硬件工程師進行物理故障檢測，經(jīng)過檢測沒有發(fā)現(xiàn)有硬盤存在物理故障。將每塊硬盤以只讀方式做全盤鏡像，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復工作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。

對硬盤做鏡像：

2、基于鏡像文件分析硬盤底層數(shù)據(jù)，發(fā)現(xiàn)底層殘留許多以前SQL server數(shù)據(jù)庫的日志和備份文件。經(jīng)過查看分析，發(fā)現(xiàn)日志中有很多包括插入語句的操作記錄。在備份文件中發(fā)現(xiàn)建表語句和一部分舊數(shù)據(jù)。

3、北亞企安數(shù)據(jù)恢復工程師編寫提取SQL server數(shù)據(jù)庫相關數(shù)據(jù)的小程序，掃描硬盤中所有存在的SQL server數(shù)據(jù)庫殘留數(shù)據(jù)并進行提取。

4、分析掃描到的所有日志文件，發(fā)現(xiàn)日志文件中的數(shù)據(jù)記錄都有固定的開頭和結尾，每條數(shù)據(jù)在固定的位置都有object ID號。在接下來的掃描中，繼續(xù)尋找有同樣object Id的數(shù)據(jù)記錄，發(fā)現(xiàn)這些數(shù)據(jù)記錄結構相同，由此可以判斷這是完好的數(shù)據(jù)，可以提取。

5、分析掃描到的備份文件，發(fā)現(xiàn)可以通過提取其中的建表語句來得到一部分的表結構。對于剩余的表結構，因為截斷為0的部分剛好在系統(tǒng)表，所以沒有辦法提取，只能根據(jù)從日志中提取出來的數(shù)據(jù)猜測表結構和數(shù)據(jù)類型。

6、根據(jù)前面分析的結果，北亞企安數(shù)據(jù)恢復工程師編寫程序從備份文件中提取建表語句，根據(jù)建表語句分析表結構與各種數(shù)據(jù)的類型。在殘留的系統(tǒng)表中尋找22H、07H、05H表，根據(jù)這些建立表與OBJECT_ID的對應關系。

7、北亞企安數(shù)據(jù)恢復工程師編寫程序提取日志中的記錄，根據(jù)object ID來對應數(shù)據(jù)和表，并將數(shù)據(jù)插入到新表中。

8、完成上述的所有操作后對數(shù)據(jù)進行驗證，經(jīng)過驗證確認恢復出來的新表與用工具觀察到的數(shù)據(jù)基本一致。本次數(shù)據(jù)恢復工作完成。