服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境:
POWEREDGE系列某型號(hào)服務(wù)器;
LINUX系統(tǒng)+RAID5。
北亞數(shù)據(jù)恢復(fù)——linux數(shù)據(jù)恢復(fù)
服務(wù)器故障:
管理員執(zhí)行FSCK操作后LINUX系統(tǒng)無(wú)法MOUNT。
服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程:
1、經(jīng)過(guò)北亞數(shù)據(jù)恢復(fù)工程師檢測(cè),發(fā)現(xiàn)RAID5陣列沒(méi)有問(wèn)題。但是執(zhí)行FSCK操作后超級(jí)塊及第1個(gè)塊組中的位圖、描述和根目錄均被垃圾日志填充,無(wú)法直接獲取到文件系統(tǒng)的所有信息。
2、根據(jù)現(xiàn)存的文件系統(tǒng)節(jié)點(diǎn)及殘留的日志區(qū),還原出原來(lái)的超級(jí)塊。
3、通過(guò)分析還原出來(lái)的SUPERBLOCK,我們得知文件系統(tǒng)為EXT3,原日志節(jié)點(diǎn)為8。
4、根據(jù)磁盤(pán)結(jié)構(gòu)分析出日志節(jié)點(diǎn)的起始位置得到其大小,然后反過(guò)來(lái)分析其INODE,得到根目錄節(jié)點(diǎn)。
5、根目錄區(qū)域中有500多個(gè)LBA已被垃圾日志填充,北亞數(shù)據(jù)恢復(fù)工程師從日志中還原根目錄記錄,還原其他第一個(gè)塊組內(nèi)可能的INODE,然后結(jié)構(gòu)化文件系統(tǒng)。
6、這個(gè)時(shí)候已經(jīng)可以在LINUX下進(jìn)行MOUNT了,多數(shù)數(shù)據(jù)已經(jīng)可以讀取。但很多用戶需要的數(shù)據(jù)出錯(cuò),懷疑是在使用當(dāng)中崩潰造成的。
7、按照EXT3的特點(diǎn)進(jìn)行索引跟入,結(jié)果發(fā)現(xiàn)多數(shù)不可讀節(jié)點(diǎn)被日志垃圾填充。
8、北亞數(shù)據(jù)恢復(fù)工程師對(duì)日志文件進(jìn)行分析。如果可以回溯,則直接生成好節(jié)點(diǎn);如果日志無(wú)參考,則通過(guò)數(shù)據(jù)區(qū)結(jié)構(gòu)進(jìn)行分析。(本案例中所有目錄區(qū)均完好)
9、完成上述操作后,用戶需要的數(shù)據(jù)都完整恢復(fù)出來(lái),本次數(shù)據(jù)恢復(fù)完成。
審核編輯 黃昊宇
-
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
507瀏覽量
17202
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論