【服務(wù)器數(shù)據(jù)恢復(fù)】linux ext3文件系統(tǒng)執(zhí)行FSCK后無(wú)法掛載的數(shù)據(jù)恢復(fù)案例

服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
POWEREDGE系列某型號(hào)服務(wù)器；
LINUX系統(tǒng)+RAID5。

北亞數(shù)據(jù)恢復(fù)——linux數(shù)據(jù)恢復(fù)

服務(wù)器故障：
管理員執(zhí)行FSCK操作后LINUX系統(tǒng)無(wú)法MOUNT。

服務(wù)器數(shù)據(jù)恢復(fù)過(guò)程：
1、經(jīng)過(guò)北亞數(shù)據(jù)恢復(fù)工程師檢測(cè)，發(fā)現(xiàn)RAID5陣列沒(méi)有問(wèn)題。但是執(zhí)行FSCK操作后超級(jí)塊及第1個(gè)塊組中的位圖、描述和根目錄均被垃圾日志填充，無(wú)法直接獲取到文件系統(tǒng)的所有信息。
2、根據(jù)現(xiàn)存的文件系統(tǒng)節(jié)點(diǎn)及殘留的日志區(qū)，還原出原來(lái)的超級(jí)塊。
3、通過(guò)分析還原出來(lái)的SUPERBLOCK，我們得知文件系統(tǒng)為EXT3，原日志節(jié)點(diǎn)為8。
4、根據(jù)磁盤(pán)結(jié)構(gòu)分析出日志節(jié)點(diǎn)的起始位置得到其大小，然后反過(guò)來(lái)分析其INODE，得到根目錄節(jié)點(diǎn)。
5、根目錄區(qū)域中有500多個(gè)LBA已被垃圾日志填充，北亞數(shù)據(jù)恢復(fù)工程師從日志中還原根目錄記錄，還原其他第一個(gè)塊組內(nèi)可能的INODE，然后結(jié)構(gòu)化文件系統(tǒng)。
6、這個(gè)時(shí)候已經(jīng)可以在LINUX下進(jìn)行MOUNT了，多數(shù)數(shù)據(jù)已經(jīng)可以讀取。但很多用戶需要的數(shù)據(jù)出錯(cuò)，懷疑是在使用當(dāng)中崩潰造成的。
7、按照EXT3的特點(diǎn)進(jìn)行索引跟入，結(jié)果發(fā)現(xiàn)多數(shù)不可讀節(jié)點(diǎn)被日志垃圾填充。
8、北亞數(shù)據(jù)恢復(fù)工程師對(duì)日志文件進(jìn)行分析。如果可以回溯，則直接生成好節(jié)點(diǎn)；如果日志無(wú)參考，則通過(guò)數(shù)據(jù)區(qū)結(jié)構(gòu)進(jìn)行分析。（本案例中所有目錄區(qū)均完好）
9、完成上述操作后，用戶需要的數(shù)據(jù)都完整恢復(fù)出來(lái)，本次數(shù)據(jù)恢復(fù)完成。

審核編輯 黃昊宇