企业级Linux误删除数据恢复技术
文章作者 100test 发表时间 2011:03:17 20:18:55
来源 100Test.Com百考试题网
为了更好的确保数据安全,企业级数据一般都存储在安全性及稳定性更高的Linux及Unix内核系统的存储设备上。据知名数据恢复品牌达思科技统计,企业级数据恢复案例较多的集中在Windows内核的服务器。不过,Windows内核的数据恢复技术难度不大,而Linux及Unix出故障的概率比较小,但是一旦出现问题,数据恢复难度非常大,达思数据恢复公司经过多年的艰苦研究,终于在Unix(IBM AIX,HP-Unix)及Linux系统下的各种文件系统(如:EXT3、JFS2、ReiserFS等)的数据恢复取得了突破性进展。
下面,我们看一个比较典型的Ext3文件系统误删除的成功案例,这在达思数据恢复众多的案例中比较典型。
客户:日本某全球500强公司
服务器环境 :浪潮服务器,3块硬盘做的Raid5。
文件系统:EXT3
发生故障时间:2010年3月18 上午10点左右
工程师误操作:维护工程师停掉oracle服务,打算把oracle做一个冷备份,然后把Oracle库文件备份到windows PC Server上,再用CuteFTP的客户端下载。在下载过程中,发现下载速度特别慢,想删除下载任务,结果误操作,把要下载的oracle实例文件夹整个都删除了, oracle库文件、控制文件、日志文件全部删除。
达思数据恢复:EXT3文件系统误删除数据恢复技术介绍
实际上,Linux操作系统的EXT3文件系统并没有预留反删除的功能。在EXT3文件系统中,每个文件都是通过Inode来描述其数据存放的具体位置,当文件被删除以后,Inode的数据指针部分被清零,文件目录区没有太多变化。文件的读写都是通过Inode来实现,当Inode数据指针被清零以后,即便文件内容还在,也没有办法把文件内容组合出来。
EXT3文件系统是一种带日志功能的文件系统,Inode的变化会在日志文件.journal中有记录,.journal文件比较小,一般是 32MB。当EXT3文件系统中的metadata数据发生变化时,相应的metadata在.journal文件会有一份COPY。比如一个文件被删除了,它的Inode信息会在.journal文件中先保存一份,然后把要删除文件inode相关信息清零。这个.journal文件是循环使用的,当操作过多时,删除的文件的inode日志记录会被新的数据替换,这就彻底丧失了根据inode找回数据的机会了。如果是大量文件的删除,这个.journal 文件会被反复循环利用多次,只留给最后删除的那些文件的恢复机会。