服务器数据恢复环境:
Linux系统,Ext4文件系统;
划分为2个分区:1个交换分区和1个文件系统分区。
服务器故障&分析:
某公司Ext4文件系统umount失败,管理员执行fsck检查一致性,结果Ext4文件mount不上(有时也表现为目录变成了文件),报错信息:mount: wrong fs type, bad option,bad superblock。
服务器故障&分析:
某公司Ext4文件系统umount失败,管理员执行fsck检查一致性,结果Ext4文件mount不上(有时也表现为目录变成了文件),报错信息:mount: wrong fs type, bad option,bad superblock。
因为日志和数据不一致而导致正常文件系统数据被覆盖的情况在Ext3、Ext4文件系统中发生的频率较高。由于journal日志文件保留着缓冲数据,数据恢复时可以通过joumal日志文件找到相关信息并重建源文件。
安装Linux系统的硬盘{BANNED}中国{BANNED}中国{BANNED}中国{BANNED}中国第一个扇区是MBR扇区,通过观察MBR分区表得知本案例中Linux系统分为两个分区:交换分区和文件系统分区。北亚数据恢复工程师决定通过joumal日志文件找回丢失的数据。
经过数据恢复工程师的检测分析,本案例Ext4文件系统相关信息如下:
1、块大小为固定的4KB,即8个扇区。
2、超级块(Superblock)起始位置在1024字节处,即2号扇区,大小为2个扇区。
3、块组描述表从{BANNED}中国{BANNED}中国{BANNED}中国{BANNED}中国第一个块开始,即从4096字节处开始。
服务器数据恢复过程:
1、首先用数据恢复工具将Ext4文件系统打开,发现0-23扇区的数据(包括超级块和块组描述符)被日志记录所覆盖。Ext3、Ext4文件系统的日志页以C0 3B 39 98开头。
超级块中可以找到关于块大小的信息。从journal日志中把超级块的备份查找出来,然后再通过数据恢复工具进行超级块信息的查找,其标志是“53ef”。超级块0x18-0x1B处描述块大小,本案例块大小为4KB。
2、重建(恢复)超级块;由于原文件系统超级块损坏,所以恢复文件时要把这部分超级块信息粘贴回去,即放在2号扇区开始或1024字节处。超级块备份的某些部分的数值可能与实际的超级块数值不一致,这种情况下需要通过数据恢复工具的模板管理器进行修改。本案例对超级块所在的第0个块组做了修改。
3、重建(恢复)块组描述表;由于部分块组描述表被破坏,所以需要先在journal日志文件里找到所有块组描述表并把它们粘贴回去。本案例中journal日志文件里的块组描述符表存储在超级块的后面,要找块组描述表可以先找超级块,找到后将块组描述符表内容粘贴到4096字节处。
4、重建(恢复)目录;当要恢复某个文件夹里的文件时,比如kyproc文件夹里的数据,这些文件夹在WinHex里是不能打开的状态,这意味着这个目录已经损坏。打开其节点信息,发现正常数据被日志填充。
根据所在块号可以定位kyproc目录相应节点的位置。由于人工补节点比较繁琐,可以从journal日志文件里面找到其节点信息,把相应的信息粘贴回去。
通过上述方法可以重建(恢复)目录。恢复目录里的文件也是通过同样的方法从journal日志文件里找到相应的文件的节点信息,找到后粘贴回原来的位置,达到重建(恢复)文件的目的。
阅读(466) | 评论(0) | 转发(0) |
