企业级Linux误删除数据恢复技术

文章作者 100test 发表时间 2011:03:17 20:18:55
来源 100Test.Com百考试题网

　　为了更好的确保数据安全，企业级数据一般都存储在安全性及稳定性更高的Linux及Unix内核系统的存储设备上。据知名数据恢复品牌达思科技统计，企业级数据恢复案例较多的集中在Windows内核的服务器。不过，Windows内核的数据恢复技术难度不大，而Linux及Unix出故障的概率比较小，但是一旦出现问题，数据恢复难度非常大，达思数据恢复公司经过多年的艰苦研究，终于在Unix（IBM AIX，HP-Unix）及Linux系统下的各种文件系统（如：EXT3、JFS2、ReiserFS等）的数据恢复取得了突破性进展。

　　下面，我们看一个比较典型的Ext3文件系统误删除的成功案例，这在达思数据恢复众多的案例中比较典型。

　　客户：日本某全球500强公司

　　服务器环境 ：浪潮服务器，3块硬盘做的Raid5。

　　文件系统：EXT3

　　发生故障时间：2010年3月18 上午10点左右

　　工程师误操作：维护工程师停掉oracle服务，打算把oracle做一个冷备份，然后把Oracle库文件备份到windows PC Server上，再用CuteFTP的客户端下载。在下载过程中，发现下载速度特别慢，想删除下载任务，结果误操作，把要下载的oracle实例文件夹整个都删除了， oracle库文件、控制文件、日志文件全部删除。

　　达思数据恢复：EXT3文件系统误删除数据恢复技术介绍

　　实际上，Linux操作系统的EXT3文件系统并没有预留反删除的功能。在EXT3文件系统中，每个文件都是通过Inode来描述其数据存放的具体位置，当文件被删除以后，Inode的数据指针部分被清零，文件目录区没有太多变化。文件的读写都是通过Inode来实现，当Inode数据指针被清零以后，即便文件内容还在，也没有办法把文件内容组合出来。

　　EXT3文件系统是一种带日志功能的文件系统，Inode的变化会在日志文件.journal中有记录，.journal文件比较小，一般是 32MB。当EXT3文件系统中的metadata数据发生变化时，相应的metadata在.journal文件会有一份COPY。比如一个文件被删除了，它的Inode信息会在.journal文件中先保存一份，然后把要删除文件inode相关信息清零。这个.journal文件是循环使用的，当操作过多时，删除的文件的inode日志记录会被新的数据替换，这就彻底丧失了根据inode找回数据的机会了。如果是大量文件的删除，这个.journal 文件会被反复循环利用多次，只留给最后删除的那些文件的恢复机会。