服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境:
8塊盤組成的RAID5磁盤陣列;
EXT3文件系統(tǒng)。
服務(wù)器故障:
由于誤刪除導(dǎo)致文件系統(tǒng)中的郵件丟失。
服務(wù)器數(shù)據(jù)恢復(fù)過程:
一、服務(wù)器數(shù)據(jù)恢復(fù)工程師為每塊磁盤做鏡像, 后續(xù)所有的數(shù)據(jù)恢復(fù)操作都在鏡像盤上進(jìn)行, 不會(huì)對(duì)原始磁盤數(shù)據(jù)造成二次破壞。
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
二、分析數(shù)據(jù)在硬盤中分布的規(guī)律,獲取RAID類型、RAID條帶大小、每塊磁盤的順序等RAID信息。根據(jù)獲取到的RAID信息重新組建RAID。
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
三、從組建好的RAID中可以看到上層劃分了數(shù)個(gè)EXT3分區(qū)。通過分析每個(gè)EXT3分區(qū)中的底層數(shù)據(jù),發(fā)現(xiàn)一個(gè)分區(qū)里面有大量的郵件頭和nsmail目錄。確認(rèn)此分區(qū)就是數(shù)據(jù)恢復(fù)的目標(biāo)分區(qū),使用工具將此分區(qū)導(dǎo)出以便后續(xù)處理。
RAID中的所有分區(qū)如下:
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
nsmail文件夾:
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
郵件頭示例:
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
四、恢復(fù)郵件。
由于EXT3文件系統(tǒng)中的文件被刪除后,節(jié)點(diǎn)中的文件大小和塊指針都被清零,很難通過常規(guī)手段去恢復(fù)。針對(duì)EXT3文件系統(tǒng)的特點(diǎn)和郵件文件本身的結(jié)構(gòu),數(shù)據(jù)恢復(fù)工程師制定恢復(fù)方案:首先對(duì)整個(gè)文件系統(tǒng)做掃描,將找到的郵件文件全部取出,然后根據(jù)郵件本身記錄的收件人、發(fā)件人、抄送、主題等信息進(jìn)行整理,最后再將數(shù)據(jù)遷移到263平臺(tái)上。
郵件恢復(fù)的詳細(xì)過程:
1、北亞數(shù)據(jù)恢復(fù)工程師編寫識(shí)別收發(fā)人、主題等memi標(biāo)識(shí)的程序和ext3超過48k郵件的提取程序。
2、按小于48k、大于48k兩種算法對(duì)郵件進(jìn)行提取。提取的同時(shí)生成郵件索引信息庫,并提取非自由空間和非郵件區(qū)。
3、人工分析提取的非自由空間和非郵件區(qū),確認(rèn)是否有遺漏的郵件。如果有遺漏則確定遺漏的原因,調(diào)整算法重新進(jìn)行掃描。
4、重復(fù)2、3這2步的過程,直到所有的非自由空間和非郵件區(qū)中沒有遺漏的郵件。
5、把所有提取出的郵件按照數(shù)據(jù)庫中解析到的收件人和發(fā)件人歸類,每個(gè)賬號(hào)一個(gè)文件夾(內(nèi)含收件和發(fā)件兩個(gè)文件夾)。
郵件恢復(fù)結(jié)果:
第一次導(dǎo)出郵件68.2G,692,767個(gè)文件
第二次改進(jìn)算法,導(dǎo)出郵件77.2G,720,209個(gè)文件。
第三次再次改進(jìn)算法,導(dǎo)出郵件84.8G,895,032個(gè)文件。
總的存儲(chǔ)空間是605G,郵件區(qū)占用84.8G,剩下的自由空間屬于全零區(qū)域,肯定沒有郵件了,非自由空間和非郵件區(qū)的垃圾數(shù)據(jù)有幾十G。
經(jīng)過3次算法改進(jìn)和記不清多少次的細(xì)節(jié)增刪,經(jīng)過人工驗(yàn)證在剩余的非自由空間和非郵件區(qū)已經(jīng)無法找到新的郵件文件。剩下的一些郵件中間碎片無法進(jìn)行拼接,然后還有一些雜亂的數(shù)據(jù)。
郵件中間碎片:
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
垃圾數(shù)據(jù):
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
驗(yàn)證數(shù)據(jù):
驗(yàn)證數(shù)據(jù)分為兩部分,一是郵件數(shù)據(jù)量的驗(yàn)證,通過對(duì)幾個(gè)已知賬號(hào)的收件和發(fā)件數(shù)量的統(tǒng)計(jì)大概估算一下郵件的回復(fù)比例。二是郵件正確性的驗(yàn)證,用FoxMail打開提取出的郵件,查看內(nèi)容是否正常。經(jīng)過用戶反復(fù)驗(yàn)證,確認(rèn)本次恢復(fù)出來的數(shù)據(jù)完整有效。
幾個(gè)賬號(hào)的數(shù)量如下:
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
一些郵件內(nèi)容:
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)
移交數(shù)據(jù):
配合用戶將所有提取出的郵件遷移到263平臺(tái)。至此本次數(shù)據(jù)恢復(fù)完成。
審核編輯 黃昊宇
-
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
507瀏覽量
17201
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論