服務(wù)器誤刪除郵件數(shù)據(jù)的數(shù)據(jù)恢復(fù)案例

服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：

8塊盤組成的RAID5磁盤陣列；
EXT3文件系統(tǒng)。

服務(wù)器故障：

由于誤刪除導(dǎo)致文件系統(tǒng)中的郵件丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過程：

一、服務(wù)器數(shù)據(jù)恢復(fù)工程師為每塊磁盤做鏡像, 后續(xù)所有的數(shù)據(jù)恢復(fù)操作都在鏡像盤上進(jìn)行, 不會(huì)對(duì)原始磁盤數(shù)據(jù)造成二次破壞。

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

二、分析數(shù)據(jù)在硬盤中分布的規(guī)律，獲取RAID類型、RAID條帶大小、每塊磁盤的順序等RAID信息。根據(jù)獲取到的RAID信息重新組建RAID。

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

三、從組建好的RAID中可以看到上層劃分了數(shù)個(gè)EXT3分區(qū)。通過分析每個(gè)EXT3分區(qū)中的底層數(shù)據(jù)，發(fā)現(xiàn)一個(gè)分區(qū)里面有大量的郵件頭和nsmail目錄。確認(rèn)此分區(qū)就是數(shù)據(jù)恢復(fù)的目標(biāo)分區(qū)，使用工具將此分區(qū)導(dǎo)出以便后續(xù)處理。

RAID中的所有分區(qū)如下：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

nsmail文件夾：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

郵件頭示例：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

四、恢復(fù)郵件。

由于EXT3文件系統(tǒng)中的文件被刪除后，節(jié)點(diǎn)中的文件大小和塊指針都被清零，很難通過常規(guī)手段去恢復(fù)。針對(duì)EXT3文件系統(tǒng)的特點(diǎn)和郵件文件本身的結(jié)構(gòu)，數(shù)據(jù)恢復(fù)工程師制定恢復(fù)方案：首先對(duì)整個(gè)文件系統(tǒng)做掃描，將找到的郵件文件全部取出，然后根據(jù)郵件本身記錄的收件人、發(fā)件人、抄送、主題等信息進(jìn)行整理，最后再將數(shù)據(jù)遷移到263平臺(tái)上。

郵件恢復(fù)的詳細(xì)過程：

1、北亞數(shù)據(jù)恢復(fù)工程師編寫識(shí)別收發(fā)人、主題等memi標(biāo)識(shí)的程序和ext3超過48k郵件的提取程序。

2、按小于48k、大于48k兩種算法對(duì)郵件進(jìn)行提取。提取的同時(shí)生成郵件索引信息庫，并提取非自由空間和非郵件區(qū)。

3、人工分析提取的非自由空間和非郵件區(qū)，確認(rèn)是否有遺漏的郵件。如果有遺漏則確定遺漏的原因，調(diào)整算法重新進(jìn)行掃描。

4、重復(fù)2、3這2步的過程，直到所有的非自由空間和非郵件區(qū)中沒有遺漏的郵件。

5、把所有提取出的郵件按照數(shù)據(jù)庫中解析到的收件人和發(fā)件人歸類，每個(gè)賬號(hào)一個(gè)文件夾（內(nèi)含收件和發(fā)件兩個(gè)文件夾）。

郵件恢復(fù)結(jié)果:

第一次導(dǎo)出郵件68.2G，692,767個(gè)文件

第二次改進(jìn)算法，導(dǎo)出郵件77.2G，720,209個(gè)文件。

第三次再次改進(jìn)算法，導(dǎo)出郵件84.8G，895,032個(gè)文件。

總的存儲(chǔ)空間是605G，郵件區(qū)占用84.8G，剩下的自由空間屬于全零區(qū)域，肯定沒有郵件了，非自由空間和非郵件區(qū)的垃圾數(shù)據(jù)有幾十G。

經(jīng)過3次算法改進(jìn)和記不清多少次的細(xì)節(jié)增刪，經(jīng)過人工驗(yàn)證在剩余的非自由空間和非郵件區(qū)已經(jīng)無法找到新的郵件文件。剩下的一些郵件中間碎片無法進(jìn)行拼接，然后還有一些雜亂的數(shù)據(jù)。

郵件中間碎片：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

垃圾數(shù)據(jù)：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

驗(yàn)證數(shù)據(jù)：

驗(yàn)證數(shù)據(jù)分為兩部分，一是郵件數(shù)據(jù)量的驗(yàn)證，通過對(duì)幾個(gè)已知賬號(hào)的收件和發(fā)件數(shù)量的統(tǒng)計(jì)大概估算一下郵件的回復(fù)比例。二是郵件正確性的驗(yàn)證，用FoxMail打開提取出的郵件，查看內(nèi)容是否正常。經(jīng)過用戶反復(fù)驗(yàn)證，確認(rèn)本次恢復(fù)出來的數(shù)據(jù)完整有效。

幾個(gè)賬號(hào)的數(shù)量如下：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

一些郵件內(nèi)容：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

移交數(shù)據(jù)：

配合用戶將所有提取出的郵件遷移到263平臺(tái)。至此本次數(shù)據(jù)恢復(fù)完成。

審核編輯 黃昊宇