服務器數據恢複環境：

某公司Linux系統服務器；

共有兩個分區：第一個分區是交換分區，第二個分區是Ext4文件系統。

服務器故障&分析：

Ext4文件系統不能umount，管理員做fsck操作檢查一緻性，結果導緻Ext4文件mount不上。報錯信息：mount: wrong fs type, bad option, bad superblock。管理員聯系我們數據恢複中心進行數據恢複。

日志和數據不一緻造成的正常文件系統數據被覆蓋，這種故障經常在Ext3、Ext4文件系統發生，好在本案例中的.journal日志文件留有緩沖，可以從.journal日志文件裡找到相應信息并粘貼回相應位置，達到重建原文件的目的。

Ext3、Ext4文件系統有日志功能，本案例考慮從.journal日志文件中找到丢失數據。

服務器數據恢複方案：

經過北亞服務器數據恢複工程師會診最終敲定以下數據恢複方案：

1、通過.journal日志文件裡的超級塊備份找到超級塊，确定塊大小。

2、通過.journal日志文件裡的超級塊備份找到超級塊，重建超級塊信息。

3、通過.journal日志文件找到目錄節點，重建(恢複)目錄。

4、通過.journal日志文件找到目錄節點找到要恢複的文件的節點信息，重建(恢複)文件。

服務器數據恢複過程：

首先用工具打開Ext4文件系統，可以看到0-23扇區的數據(包括超級塊和塊組描述符)被日志記錄覆蓋。Ext3、Ext4文件系統的日志頁以C0 3B 39 98開頭。如下圖所示。

北亞數據恢複——Ext4文件系統數據恢複

1、确定塊大小：

超級塊中有關于塊大小的信息，可以從.journal日志中查找超級塊的備份。用工具查找得到.journal日志中超級塊的信息，其标志是“53ef”。查找超級塊方式如下圖所示。查看塊大小方法如圖4和圖5所示。超級塊0x18-0x1B處描述塊大小，确定本案例塊大小為4KB。

北亞數據恢複——Ext4文件系統數據恢複

通過超級塊查看塊大小如下圖所示。

北亞數據恢複——Ext4文件系統數據恢複

WinHex模闆編輯器也可以顯示塊大小，如下圖所示。

北亞數據恢複——Ext4文件系統數據恢複

2、重建(恢複)超級塊；

由于原文件系統超級塊損壞，所以恢複文件時需要把這部分超級塊信息粘貼回去，即放在2号扇區開始，或1024字節處。

完成上述操作，超級塊備份的某些地方與實際的超級塊數值可能不一緻，需要通過WinHex的模闆管理器修改一下。本案例對超級塊所在的塊組作了修改，它在第0個塊組裡。如下圖所示。

北亞數據恢複——Ext4文件系統數據恢複

3、重建(恢複)塊組描述表：

由于部分塊組描述表被破壞，所以在.journal日志文件裡找到所有的塊組描述表，并把它們粘貼回去。.journal日志文件裡，塊組描述符表存儲在超級塊的後面。所以要找塊組描述表時，可以先找到超級塊。找到後将塊組描述符表内容粘貼到4096字節處。

4、重建(恢複)目錄：

當要恢複某個文件夾裡的文件時，比如kyproc文件夾裡的數據，發現這些文件夾在WinHex裡是不能打開的狀态，如下圖所示。很明顯這個目錄損壞了，打開其節點信息，發現正常數據被日志填充，如下圖2所示。

北亞數據恢複——Ext4文件系統數據恢複

北亞數據恢複——Ext4文件系統數據恢複

我們找到它的上一級目錄，即var文件夾，右擊點“open”，打開看到var文件裡的所有文件的目錄信息。找到要恢複的kyproc目錄的信息，12 32 EE 00是其i-節點号，10 00表示其目錄項長度，06表示其文件名稱長度，02表示其文件類型為目錄。如下圖所示。

北亞數據恢複——Ext4文件系統數據恢複

然後在var文件夾的目錄塊下查找kyproc目錄的位置，如下圖所示，标紅的位置是找到的結果。此位置顯示所在塊号為62399108。

北亞數據恢複——Ext4文件系統數據恢複

根據所在塊号，就可以定位kyproc目錄相應節點的位置。由于人工補節點比較繁瑣，北亞數據恢複工程師打開.journal日志文件，從裡面找到其節點信息，把相應的信息粘貼回去。

上述方法可以重建(恢複)目錄，恢複目錄裡的文件也是通過同樣的方法從.journal日志文件裡找到相應的文件的節點信息，找到後粘貼回原來的位置，達到重建(恢複)文件的目的。

5、完成所有的數據恢複操作後，由管理員親自對恢複出來的數據進行驗證，确認恢複出來的數據完整無誤，本次數據恢複成功。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!