服務(wù)器誤刪除郵件數(shù)據(jù)的數(shù)據(jù)恢復(fù)案例

服務(wù)器數(shù)據(jù)恢復(fù)環(huán)境：

8塊盤組成的RAID5磁盤陣列；
EXT3文件系統(tǒng)。

服務(wù)器故障：

由于誤刪除導(dǎo)致文件系統(tǒng)中的郵件丟失。

服務(wù)器數(shù)據(jù)恢復(fù)過程：

一、服務(wù)器數(shù)據(jù)恢復(fù)工程師為每塊磁盤做鏡像, 后續(xù)所有的數(shù)據(jù)恢復(fù)操作都在鏡像盤上進行, 不會對原始磁盤數(shù)據(jù)造成二次破壞。

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

二、分析數(shù)據(jù)在硬盤中分布的規(guī)律，獲取RAID類型、RAID條帶大小、每塊磁盤的順序等RAID信息。根據(jù)獲取到的RAID信息重新組建RAID。

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

三、從組建好的RAID中可以看到上層劃分了數(shù)個EXT3分區(qū)。通過分析每個EXT3分區(qū)中的底層數(shù)據(jù)，發(fā)現(xiàn)一個分區(qū)里面有大量的郵件頭和nsmail目錄。確認此分區(qū)就是數(shù)據(jù)恢復(fù)的目標分區(qū)，使用工具將此分區(qū)導(dǎo)出以便后續(xù)處理。

RAID中的所有分區(qū)如下：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

nsmail文件夾：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

郵件頭示例：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

四、恢復(fù)郵件。

由于EXT3文件系統(tǒng)中的文件被刪除后，節(jié)點中的文件大小和塊指針都被清零，很難通過常規(guī)手段去恢復(fù)。針對EXT3文件系統(tǒng)的特點和郵件文件本身的結(jié)構(gòu)，數(shù)據(jù)恢復(fù)工程師制定恢復(fù)方案：首先對整個文件系統(tǒng)做掃描，將找到的郵件文件全部取出，然后根據(jù)郵件本身記錄的收件人、發(fā)件人、抄送、主題等信息進行整理，最后再將數(shù)據(jù)遷移到263平臺上。

郵件恢復(fù)的詳細過程：

1、北亞數(shù)據(jù)恢復(fù)工程師編寫識別收發(fā)人、主題等memi標識的程序和ext3超過48k郵件的提取程序。

2、按小于48k、大于48k兩種算法對郵件進行提取。提取的同時生成郵件索引信息庫，并提取非自由空間和非郵件區(qū)。

3、人工分析提取的非自由空間和非郵件區(qū)，確認是否有遺漏的郵件。如果有遺漏則確定遺漏的原因，調(diào)整算法重新進行掃描。

4、重復(fù)2、3這2步的過程，直到所有的非自由空間和非郵件區(qū)中沒有遺漏的郵件。

5、把所有提取出的郵件按照數(shù)據(jù)庫中解析到的收件人和發(fā)件人歸類，每個賬號一個文件夾（內(nèi)含收件和發(fā)件兩個文件夾）。

郵件恢復(fù)結(jié)果:

第一次導(dǎo)出郵件68.2G，692,767個文件

第二次改進算法，導(dǎo)出郵件77.2G，720,209個文件。

第三次再次改進算法，導(dǎo)出郵件84.8G，895,032個文件。

總的存儲空間是605G，郵件區(qū)占用84.8G，剩下的自由空間屬于全零區(qū)域，肯定沒有郵件了，非自由空間和非郵件區(qū)的垃圾數(shù)據(jù)有幾十G。

經(jīng)過3次算法改進和記不清多少次的細節(jié)增刪，經(jīng)過人工驗證在剩余的非自由空間和非郵件區(qū)已經(jīng)無法找到新的郵件文件。剩下的一些郵件中間碎片無法進行拼接，然后還有一些雜亂的數(shù)據(jù)。

郵件中間碎片：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

垃圾數(shù)據(jù)：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

驗證數(shù)據(jù)：

驗證數(shù)據(jù)分為兩部分，一是郵件數(shù)據(jù)量的驗證，通過對幾個已知賬號的收件和發(fā)件數(shù)量的統(tǒng)計大概估算一下郵件的回復(fù)比例。二是郵件正確性的驗證，用FoxMail打開提取出的郵件，查看內(nèi)容是否正常。經(jīng)過用戶反復(fù)驗證，確認本次恢復(fù)出來的數(shù)據(jù)完整有效。

幾個賬號的數(shù)量如下：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

一些郵件內(nèi)容：

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

北亞數(shù)據(jù)恢復(fù)——恢復(fù)郵件數(shù)據(jù)

移交數(shù)據(jù)：

配合用戶將所有提取出的郵件遷移到263平臺。至此本次數(shù)據(jù)恢復(fù)完成。

審核編輯 黃昊宇