關(guān)于Ext4文件系統(tǒng)的幾個(gè)概念：
塊組：Ext4文件系統(tǒng)的全部空間被劃分為若干個(gè)塊組，每個(gè)塊組結(jié)構(gòu)基本上相同。
塊組描述符表：每個(gè)塊組都對(duì)應(yīng)一個(gè)塊組描述符，這些塊組描述符統(tǒng)一放在文件系統(tǒng)的前部，稱為塊組描述符表。每個(gè)塊組描述符大小為32字節(jié)，主要描述塊位圖、i-節(jié)點(diǎn)位圖及i-節(jié)點(diǎn)表的地址等信息。
超級(jí)塊(Superblock)：用于存儲(chǔ)文件系統(tǒng)的配置參數(shù)（塊大小、總塊數(shù)、i-節(jié)點(diǎn)數(shù)等）和動(dòng)態(tài)信息（當(dāng)前空閑塊數(shù)和i-節(jié)點(diǎn)數(shù)）。Ext4文件系統(tǒng)的超級(jí)塊始于1024字節(jié)處，即2號(hào)扇區(qū)。
i節(jié)點(diǎn)：描述文件的時(shí)間、大小、塊指針等信息。
塊組描述符和超級(jí)塊在塊中的位置：當(dāng)塊大小為2個(gè)扇區(qū)時(shí)，0號(hào)塊是引導(dǎo)程序或者保留塊，超級(jí)塊起始于1號(hào)塊。當(dāng)塊大小為4個(gè)扇區(qū)時(shí)，引導(dǎo)程序或者保留塊位于0號(hào)塊的前兩個(gè)扇區(qū)，超級(jí)塊位于0號(hào)塊的后兩個(gè)扇區(qū)。當(dāng)塊大小為8個(gè)扇區(qū)時(shí)，引導(dǎo)程序或者保留塊位于0號(hào)塊的0-1號(hào)扇區(qū)，超級(jí)塊位于0號(hào)塊的2-3號(hào)扇區(qū)。
Ext4文件系統(tǒng)結(jié)構(gòu)和第一個(gè)塊組的結(jié)構(gòu)：

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

Ext4文件系統(tǒng)故障初檢和分析：
服務(wù)器上Ext4文件系統(tǒng)umount失敗，工作人員使用fsck命令檢查文件系統(tǒng)的一致性，結(jié)果導(dǎo)致Ext4文件系統(tǒng)mount不上（有時(shí)表現(xiàn)為目錄變?yōu)槲募?bào)錯(cuò)提示信息：“mount: wrong fs type,bad option,bad superblock”。
日志和數(shù)據(jù)不一致導(dǎo)致文件系統(tǒng)數(shù)據(jù)被覆蓋的情況在Ext3和Ext4文件系統(tǒng)中出現(xiàn)頻繁，不過(guò).journal日志文件留有緩沖數(shù)據(jù)，可以通過(guò)joumal日志文件找到相應(yīng)信息并重建源文件。
安裝Linux操作系統(tǒng)的硬盤的第一個(gè)扇區(qū)是MBR扇區(qū)，通過(guò)查看MBR分區(qū)表得知本案例環(huán)境中有2個(gè)分區(qū)：交換分區(qū)+Ext4文件系統(tǒng)分區(qū)。數(shù)據(jù)恢復(fù)工程師計(jì)劃通過(guò)分析joumal日志文件來(lái)恢復(fù)丟失的數(shù)據(jù)。
本案例Ext4文件系統(tǒng)的相關(guān)信息：
1、塊大小為4KB，即8個(gè)扇區(qū)。
2、超級(jí)塊(Superblock)起始位置在1024字節(jié)處，即2號(hào)扇區(qū)，大小為2個(gè)扇區(qū)。
3、塊組描述表從第一個(gè)塊開始，即從4096字節(jié)處開始。

Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)過(guò)程：
1、用軟件將Ext4文件系統(tǒng)打開，可以看到0-23扇區(qū)的數(shù)據(jù)(包括超級(jí)塊和塊組描述符)被日志記錄覆蓋。Ext3、Ext4文件系統(tǒng)的日志頁(yè)以C0 3B 39 98開頭。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

2、超級(jí)塊中包含關(guān)于塊大小的信息。從.journal日志中將超級(jí)塊的備份查找出來(lái)，然后通過(guò)查找超級(jí)塊信息，其標(biāo)志是“53ef”。
查找超級(jí)塊：

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

通過(guò)超級(jí)塊查看塊大小。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

軟件模板編輯器也可以顯示塊大小。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

超級(jí)塊0x18-0x1B處描述塊大小，確定本案例塊大小為4KB。
3、重建(恢復(fù))超級(jí)塊；由于原文件系統(tǒng)超級(jí)塊損壞，所以在恢復(fù)數(shù)據(jù)時(shí)要把這部分超級(jí)塊信息粘貼回去，即放在2號(hào)扇區(qū)開始，或1024字節(jié)處。上述操作完成后，超級(jí)塊備份某些地方與實(shí)際超級(jí)塊數(shù)值可能不一致，需要通過(guò)數(shù)據(jù)恢復(fù)工具的模板管理器修改。本案例對(duì)超級(jí)塊所在的塊組作了修改，它在第0個(gè)塊組里。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

4、重建(恢復(fù))塊組描述表；由于部分塊組描述表被破壞，所以在.journal日志文件里找到所有的塊組描述表，并把它們粘貼回去。.journal日志文件里，塊組描述符表存儲(chǔ)在超級(jí)塊的后面，所以找塊組描述表之前可以先找到超級(jí)塊。找到塊組描述表后將塊組描述符表內(nèi)容粘貼到4096字節(jié)處。
5、重建(恢復(fù))目錄；恢復(fù)某個(gè)文件夾里的文件時(shí)，例如恢復(fù)kyproc文件夾里的數(shù)據(jù)，發(fā)現(xiàn)這些文件夾通過(guò)工具無(wú)法打開。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

很明顯這個(gè)目錄損壞了，打開其節(jié)點(diǎn)信息后發(fā)現(xiàn)正常數(shù)據(jù)被日志填充。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

找到上一級(jí)目錄，即var文件夾，右擊點(diǎn)“open”。打開var文件夾里的所有文件的目錄信息，找到kyproc目錄的信息，12 32 EE 00是其i-節(jié)點(diǎn)號(hào)，10 00表示其目錄項(xiàng)長(zhǎng)度，06表示其文件名稱長(zhǎng)度，02表示其文件類型為目錄。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

6、在var文件夾的目錄塊下查找kyproc目錄的位置，標(biāo)紅的位置是找到的結(jié)果，該位置顯示所在塊號(hào)為62399108。

北亞企安數(shù)據(jù)恢復(fù)—Ext4文件系統(tǒng)數(shù)據(jù)恢復(fù)

7、根據(jù)所在塊號(hào)，就可以定位kyproc目錄相應(yīng)節(jié)點(diǎn)的位置。由于人工補(bǔ)節(jié)點(diǎn)比較麻煩，可以打開.journal日志文件，從里面找到其節(jié)點(diǎn)信息，然后將相應(yīng)的信息粘貼回去。通過(guò)上述方法可以重建(恢復(fù))目錄。恢復(fù)目錄里的文件也是通過(guò)同樣的方法，從.journal日志文件里找到相應(yīng)的文件的節(jié)點(diǎn)信息，找到后粘貼回原來(lái)的位置即可。

審核編輯 黃宇