服務(wù)器數(shù)據(jù)恢復(fù)-EXT3文件系統(tǒng)下郵件數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境:
一臺服務(wù)器有一組由8塊盤組建的RAID5陣列,EXT3文件系統(tǒng)。
服務(wù)器故障:
由于工作人員的誤操作導(dǎo)致文件系統(tǒng)中的郵件丟失。用戶需要恢復(fù)丟失的郵件數(shù)據(jù)。
服務(wù)器數(shù)據(jù)恢復(fù)過程:
1、將故障服務(wù)器中所有磁盤以只讀方式進(jìn)行全盤鏡像備份。后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都在鏡像盤上進(jìn)行, 避免對原始磁盤數(shù)據(jù)造成二次破壞。
鏡像截圖:
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
2、基于鏡像文件分析數(shù)據(jù)在硬盤上的分布規(guī)律, 獲取RAID類型,、RAID條帶大小,盤序等raid相關(guān)信息。利用這些raid信息虛擬重構(gòu)RAID。
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
3、通過重構(gòu)好的RAID陣列可以看到上層劃分了數(shù)個EXT3分區(qū)。分析每個分區(qū)中底層數(shù)據(jù), 發(fā)現(xiàn)其中一個分區(qū)里有大量的郵件頭和nsmail目錄,,可以確認(rèn)此分區(qū)就是需要恢復(fù)數(shù)據(jù)的目標(biāo)分區(qū),使用工具將此分區(qū)導(dǎo)出。
RAID中的所有分區(qū):
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
nsmail文件夾:
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
郵件頭示例:
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
4、EXT3文件系統(tǒng)中文件被刪除后,節(jié)點中的文件大小和塊指針都會被清零,很難通過常規(guī)手段去恢復(fù)數(shù)據(jù)。針對EXT3文件系統(tǒng)的特點和郵件文件本身的結(jié)構(gòu),北亞企安數(shù)據(jù)恢復(fù)工程師敲定數(shù)據(jù)恢復(fù)方案:掃描整個文件系統(tǒng),將找到的郵件文件全部取出,然后根據(jù)郵件本身記錄的收件人、發(fā)件人、抄送、主題等信息進(jìn)行整理,最后遷移數(shù)據(jù)。詳細(xì)過程:
a、北亞企安數(shù)據(jù)恢復(fù)工程師編寫郵件標(biāo)識程序和ext3文件系統(tǒng)郵件提取程序。
b、按小于48k、大于48k兩種算法對郵件進(jìn)行提取。提取同時生成郵件索引信息庫,并且提取非自由空間和非郵件區(qū)。
c、人工分析提取的非自由空間和非郵件區(qū)進(jìn)行,確定是否有遺漏的郵件。如果有則確定遺漏的原因,調(diào)整算法重新進(jìn)行掃描。
d、重復(fù)上述兩步,直到最后的非自由空間和非郵件區(qū)中沒有遺漏的郵件。
e、將所有提取出來的郵件按照數(shù)據(jù)庫中解析到的收件人和發(fā)件人歸類,每個賬號一個文件夾,內(nèi)含收件和發(fā)件兩個文件夾。
經(jīng)過數(shù)次算法改進(jìn)和多次細(xì)節(jié)增刪,剩余的非自由空間和非郵件區(qū)經(jīng)過人工驗證也無法找到新的郵件文件,只剩下一些無法拼接的郵件中間碎片和一些雜亂數(shù)據(jù)。
郵件中間碎片:
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
垃圾數(shù)據(jù):
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
驗證數(shù)據(jù) :
驗證數(shù)據(jù)分為兩部分:1、郵件數(shù)據(jù)量的驗證。通過對幾個已知賬號的收件和發(fā)件數(shù)量的統(tǒng)計,大概估算一下郵件的恢復(fù)比例。2、郵件正確性的驗證。用FoxMail打開提取出的郵件,查看內(nèi)容是否正常。
幾個賬號的數(shù)量:
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
一些郵件內(nèi)容:
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
北亞企安數(shù)據(jù)恢復(fù)——EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)
經(jīng)過驗證,用戶方確認(rèn)恢復(fù)出來的重要郵件數(shù)據(jù)都在,認(rèn)可恢復(fù)結(jié)果。北亞企安數(shù)據(jù)恢復(fù)工程師配合用戶將所有提取出的郵件遷移到用戶指定的郵件平臺。
審核編輯 黃宇
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
9619瀏覽量
87076 -
數(shù)據(jù)恢復(fù)
+關(guān)注
關(guān)注
10文章
629瀏覽量
17959
發(fā)布評論請先 登錄
怎么在linux下制作ext3、ext4文件系統(tǒng)?
服務(wù)器誤刪除郵件數(shù)據(jù)的數(shù)據(jù)恢復(fù)案例
【數(shù)據(jù)庫數(shù)據(jù)恢復(fù)】Linux EXT3文件系統(tǒng)下ORACLE數(shù)據(jù)庫誤刪除的數(shù)據(jù)恢復(fù)案例
【數(shù)據(jù)庫數(shù)據(jù)恢復(fù)】Linux EXT3文件系統(tǒng)MYSQL數(shù)據(jù)庫恢復(fù)案例
EXT4文件系統(tǒng)下分區(qū)不能掛載的數(shù)據(jù)恢復(fù)案例
Window讀取 Ext3/Ext4文件系統(tǒng)數(shù)據(jù)
服務(wù)器數(shù)據(jù)恢復(fù)-EXT3文件系統(tǒng)下raid5數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)-ext4文件系統(tǒng)下服務(wù)器數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)- Ext4文件系統(tǒng)服務(wù)器數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)-LINUX下誤刪除/格式化的數(shù)據(jù)恢復(fù)方案
服務(wù)器數(shù)據(jù)恢復(fù)—ocfs2文件系統(tǒng)被誤格式化為Ext4文件系統(tǒng)的數(shù)據(jù)恢復(fù)案例
【服務(wù)器數(shù)據(jù)恢復(fù)】UFS2文件系統(tǒng)數(shù)據(jù)恢復(fù)案例
【服務(wù)器數(shù)據(jù)恢復(fù)】硬盤壞道掉線導(dǎo)致服務(wù)器崩潰的數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—KVM虛擬機(jī)raw格式磁盤文件數(shù)據(jù)恢復(fù)案例
服務(wù)器數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)下誤刪除數(shù)據(jù)的恢復(fù)案例
工商網(wǎng)監(jiān)
評論