服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：
郵件服務(wù)器中有一組由8塊盤組成的RAID5陣列, 上層是Linux操作系統(tǒng)+EXT3文件系統(tǒng)。

服務(wù)器故障：
由于誤刪除導(dǎo)致文件系統(tǒng)中的郵件數(shù)據(jù)丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過程：
1、將故障服務(wù)器中所有硬盤做好標(biāo)記后取出，硬件工程師檢測后沒有發(fā)現(xiàn)有硬盤存在硬件故障。以只讀方式將所有磁盤進(jìn)行扇區(qū)級全盤鏡像備份，鏡像完成后將所有磁盤按照原樣還原到原服務(wù)器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復(fù)操作都基于鏡像文件進(jìn)行，避免對原始磁盤數(shù)據(jù)造成二次破壞。

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

2、基于鏡像文件分析所有磁盤底層數(shù)據(jù)，分析數(shù)據(jù)在硬盤中分布的規(guī)律，獲取重組raid所需要的相關(guān)信息（起始扇區(qū)、盤序、條帶大小、校驗方向、數(shù)據(jù)走向等）。根據(jù)上述獲取到的信息重組RAID。

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

3、組建好的RAID中可以看到上層劃分的幾個EXT3分區(qū)。分析每個分區(qū)中的底層數(shù)據(jù),，發(fā)現(xiàn)其中一個分區(qū)里面有大量的郵件頭，并且有nsmail目錄，因此可以確認(rèn)此分區(qū)是需要恢復(fù)數(shù)據(jù)的目標(biāo)分區(qū)。將此分區(qū)導(dǎo)出以待后用。
RAID中的所有分區(qū)：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

nsmail文件夾：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

郵件頭示例：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

4、恢復(fù)郵件數(shù)據(jù)。
由于EXT3文件系統(tǒng)中文件被刪除后，節(jié)點(diǎn)中的文件大小和塊指針都會被清零，因此很難通過常規(guī)方法恢復(fù)數(shù)據(jù)。需要針對EXT3文件系統(tǒng)特點(diǎn)和郵件文件本身的結(jié)構(gòu)，確定算法。根據(jù)算法編寫程序，使用程序掃描整個文件系統(tǒng)。將掃描找到的郵件文件全部取出，然后根據(jù)郵件本身記錄的收件人、發(fā)件人、抄送、主題等信息進(jìn)行整理，然后將數(shù)據(jù)遷移到郵件平臺上。
郵件數(shù)據(jù)恢復(fù)過程：
a、編寫郵件標(biāo)識程序。
b、按照算法編寫在ext3文件系統(tǒng)中提取≥48k郵件和提取＜48k郵件的程序，對郵件進(jìn)行提取。提取同時生成郵件索引信息庫，并且提取非自由空間和非郵件區(qū)。
c、人工分析提取的非自由空間和非郵件區(qū)，確定無遺漏的郵件。如果有遺漏的郵件，確定遺漏的原因，調(diào)整算法，重新進(jìn)行掃描。直到非自由空間和非郵件區(qū)中沒有遺漏的郵件。
d、按照數(shù)據(jù)庫中解析到的收件人和發(fā)件人歸類所有提取的郵件。每個賬號一個文件夾，內(nèi)含收件和發(fā)件兩個文件夾。
結(jié)果:
第一次掃描結(jié)果：導(dǎo)出郵件60多GB, 60多萬個文件。
第二次掃描結(jié)果：改進(jìn)算法后, 導(dǎo)出郵件70多GB, 多了三萬多個文件。
第三次掃描結(jié)果：再次改進(jìn)算法, 導(dǎo)出郵件80多GB, 比上次多了十多萬個文件。
總的存儲空間是600多GB, 郵件區(qū)占用80多GB，剩下的自由空間屬于全零區(qū)域，肯定沒有郵件了，非自由空間和非郵件區(qū)的垃圾數(shù)據(jù)有20多GB。
經(jīng)過數(shù)次算法改進(jìn)和多次細(xì)節(jié)調(diào)整，剩余的非自由空間和非郵件區(qū)經(jīng)過人工驗證也無法找到新的郵件文件，只剩下一些無法拼接的郵件中間碎片和雜亂數(shù)據(jù)。
郵件中間碎片：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

垃圾數(shù)據(jù)：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

5、驗證數(shù)據(jù)。驗證數(shù)據(jù)分為兩塊：一、郵件數(shù)據(jù)量的驗證，根據(jù)幾個已知賬號的收件和發(fā)件數(shù)量進(jìn)行統(tǒng)計，大概估算一下郵件的恢復(fù)比例。二、郵件正確性的驗證，用FoxMail打開提取出的郵件，查看內(nèi)容是否正常。
幾個賬號的數(shù)量如下：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

一些郵件內(nèi)容：

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

北亞企安數(shù)據(jù)恢復(fù)—EXT3文件系統(tǒng)數(shù)據(jù)恢復(fù)

6、移交數(shù)據(jù)。將所有提取出的郵件遷移到郵件平臺。

審核編輯 黃宇