企業(yè)級(jí)Linux誤刪除數(shù)據(jù)恢復(fù)技術(shù)

　　下面，我們看一個(gè)比較典型的Ext3文件系統(tǒng)誤刪除的成功案例，這在數(shù)據(jù)恢復(fù)眾多的案例中比較典型。

　　客戶：日本某全球500強(qiáng)公司

　　服務(wù)器環(huán)境 ：浪潮服務(wù)器，3塊硬盤做的Raid5。

　　文件系統(tǒng)：EXT3

　　發(fā)生故障時(shí)間：2010年3月18 上午10點(diǎn)左右

　　工程師誤操作：維護(hù)工程師停掉Oracle服務(wù)，打算把oracle做一個(gè)冷備份，然后把Oracle庫(kù)文件備份到windows PC Server上，再用CuteFTP的客戶端下載。在下載過(guò)程中，發(fā)現(xiàn)下載速度特別慢，想刪除下載任務(wù)，結(jié)果誤操作，把要下載的oracle實(shí)例文件夾整個(gè)都刪除了， oracle庫(kù)文件、控制文件、日志文件全部刪除。

　　數(shù)據(jù)恢復(fù)：EXT3文件系統(tǒng)誤刪除數(shù)據(jù)恢復(fù)技術(shù)介紹

　　實(shí)際上，Linux操作系統(tǒng)的EXT3文件系統(tǒng)并沒(méi)有預(yù)留反刪除的功能。在EXT3文件系統(tǒng)中，每個(gè)文件都是通過(guò)Inode來(lái)描述其數(shù)據(jù)存放的具體位置，當(dāng)文件被刪除以后，Inode的數(shù)據(jù)指針部分被清零，文件目錄區(qū)沒(méi)有太多變化。文件的讀寫(xiě)都是通過(guò)Inode來(lái)實(shí)現(xiàn)，當(dāng)Inode數(shù)據(jù)指針被清零以后，即便文件內(nèi)容還在，也沒(méi)有辦法把文件內(nèi)容組合出來(lái)。

　　EXT3文件系統(tǒng)是一種帶日志功能的文件系統(tǒng)，Inode的變化會(huì)在日志文件.journal中有記錄，.journal文件比較小，一般是32MB。當(dāng)EXT3文件系統(tǒng)中的metadata數(shù)據(jù)發(fā)生變化時(shí)，相應(yīng)的metadata在.journal文件會(huì)有一份COPY。比如一個(gè)文件被刪除了，它的Inode信息會(huì)在.journal文件中先保存一份，然后把要?jiǎng)h除文件inode相關(guān)信息清零。這個(gè).journal文件是循環(huán)使用的，當(dāng)操作過(guò)多時(shí)，刪除的文件的inode日志記錄會(huì)被新的數(shù)據(jù)替換，這就徹底喪失了根據(jù)inode找回?cái)?shù)據(jù)的機(jī)會(huì)了。如果是大量文件的刪除，這個(gè).journal文件會(huì)被反復(fù)循環(huán)利用多次，只留給最后刪除的那些文件的恢復(fù)機(jī)會(huì)。

　　數(shù)據(jù)恢復(fù)專家上門服務(wù) 3天Oracle數(shù)據(jù)庫(kù)奇跡般成功恢復(fù)！

　　客戶在北京咨詢了五六家數(shù)據(jù)恢復(fù)公司，最終決定請(qǐng)數(shù)據(jù)恢復(fù)專家上門服務(wù)。數(shù)據(jù)修復(fù)專家開(kāi)車抵達(dá)位于順義區(qū)天竺的客戶數(shù)據(jù)中心現(xiàn)場(chǎng)。

　　客戶要恢復(fù)的是Oracle數(shù)據(jù)庫(kù)，oracle數(shù)據(jù)庫(kù)文件被刪除以后，只要是數(shù)據(jù)內(nèi)容沒(méi)有被覆蓋，數(shù)據(jù)恢復(fù)技術(shù)是可以把文件單獨(dú)提取出來(lái)。DST專家經(jīng)過(guò)深入分析，在.journal文件沒(méi)有找到刪除過(guò)的oracle數(shù)據(jù)文件，原因是用戶刪除數(shù)據(jù)以后，系統(tǒng)還在開(kāi)機(jī)運(yùn)行，同時(shí)嘗試啟動(dòng)過(guò)oracle實(shí)例，oracle產(chǎn)生一些日志文件，這些日志文件數(shù)量比較多，而要恢復(fù)的刪除過(guò)的文件數(shù)量只有16個(gè)，在.journal文件中已經(jīng)沒(méi)有了刪除文件的inode信息。最終，數(shù)據(jù)恢復(fù)的思路只有兩條：

　　第一種：根據(jù)Oracle數(shù)據(jù)文件內(nèi)部結(jié)構(gòu)，對(duì)全盤進(jìn)行搜索，符合oracle數(shù)據(jù)頁(yè)面的數(shù)據(jù)都提取出來(lái)，然后按照oracle數(shù)據(jù)文件的ID號(hào)進(jìn)行重新組合。

　　第二種：根據(jù)Oracle數(shù)據(jù)文件分布規(guī)律，精確定位oracle文件的數(shù)據(jù)指針地址，包括一級(jí)間接地址、二級(jí)間接地址和三級(jí)間接地址，重新構(gòu)造出該文件的inode信息，然后把數(shù)據(jù)讀取出來(lái)。

　　數(shù)據(jù)恢復(fù)專家最終恢復(fù)的效果非常好。第二天下午，由于工作量比較大，研發(fā)部的程序員在現(xiàn)場(chǎng)編寫(xiě)了腳本，以提高Oracle數(shù)據(jù)庫(kù)組合進(jìn)度。第三天，oracle能正常啟動(dòng)。工程師把數(shù)據(jù)全部備份出來(lái)，最后發(fā)現(xiàn)有兩個(gè)表數(shù)據(jù)少了一些記錄，經(jīng)查明，原因就是刪除文件以后，一些日志文件的寫(xiě)入該分區(qū)，破壞了oracle數(shù)據(jù)文件的一些數(shù)據(jù)頁(yè)面，幸好這兩張表數(shù)據(jù)對(duì)用戶來(lái)說(shuō)不是很重要，客戶接受數(shù)據(jù)恢復(fù)結(jié)果。

　　數(shù)據(jù)恢復(fù)專家提示：

　　在Linux/UINX下誤刪除了文件，當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失以后，不要進(jìn)行任何操作，馬上關(guān)機(jī)，保留現(xiàn)場(chǎng)。如果條件不允許關(guān)機(jī)，就要想辦法把數(shù)據(jù)丟失的文件系統(tǒng)經(jīng)過(guò)DD鏡像到另外的存儲(chǔ)空間上作為最原始的備份，以便數(shù)據(jù)恢復(fù)專家現(xiàn)場(chǎng)診斷。

　　下面，我們看一個(gè)比較典型的Ext3文件系統(tǒng)誤刪除的成功案例，這在數(shù)據(jù)恢復(fù)眾多的案例中比較典型。

　　客戶：日本某全球500強(qiáng)公司

　　服務(wù)器環(huán)境 ：浪潮服務(wù)器，3塊硬盤做的Raid5。

　　文件系統(tǒng)：EXT3

　　發(fā)生故障時(shí)間：2010年3月18 上午10點(diǎn)左右

　　工程師誤操作：維護(hù)工程師停掉Oracle服務(wù)，打算把oracle做一個(gè)冷備份，然后把Oracle庫(kù)文件備份到windows PC Server上，再用CuteFTP的客戶端下載。在下載過(guò)程中，發(fā)現(xiàn)下載速度特別慢，想刪除下載任務(wù)，結(jié)果誤操作，把要下載的oracle實(shí)例文件夾整個(gè)都刪除了， oracle庫(kù)文件、控制文件、日志文件全部刪除。

　　數(shù)據(jù)恢復(fù)：EXT3文件系統(tǒng)誤刪除數(shù)據(jù)恢復(fù)技術(shù)介紹

　　實(shí)際上，Linux操作系統(tǒng)的EXT3文件系統(tǒng)并沒(méi)有預(yù)留反刪除的功能。在EXT3文件系統(tǒng)中，每個(gè)文件都是通過(guò)Inode來(lái)描述其數(shù)據(jù)存放的具體位置，當(dāng)文件被刪除以后，Inode的數(shù)據(jù)指針部分被清零，文件目錄區(qū)沒(méi)有太多變化。文件的讀寫(xiě)都是通過(guò)Inode來(lái)實(shí)現(xiàn)，當(dāng)Inode數(shù)據(jù)指針被清零以后，即便文件內(nèi)容還在，也沒(méi)有辦法把文件內(nèi)容組合出來(lái)。

　　EXT3文件系統(tǒng)是一種帶日志功能的文件系統(tǒng)，Inode的變化會(huì)在日志文件.journal中有記錄，.journal文件比較小，一般是32MB。當(dāng)EXT3文件系統(tǒng)中的metadata數(shù)據(jù)發(fā)生變化時(shí)，相應(yīng)的metadata在.journal文件會(huì)有一份COPY。比如一個(gè)文件被刪除了，它的Inode信息會(huì)在.journal文件中先保存一份，然后把要?jiǎng)h除文件inode相關(guān)信息清零。這個(gè).journal文件是循環(huán)使用的，當(dāng)操作過(guò)多時(shí)，刪除的文件的inode日志記錄會(huì)被新的數(shù)據(jù)替換，這就徹底喪失了根據(jù)inode找回?cái)?shù)據(jù)的機(jī)會(huì)了。如果是大量文件的刪除，這個(gè).journal文件會(huì)被反復(fù)循環(huán)利用多次，只留給最后刪除的那些文件的恢復(fù)機(jī)會(huì)。

　　數(shù)據(jù)恢復(fù)專家上門服務(wù) 3天Oracle數(shù)據(jù)庫(kù)奇跡般成功恢復(fù)！

　　客戶在北京咨詢了五六家數(shù)據(jù)恢復(fù)公司，最終決定請(qǐng)數(shù)據(jù)恢復(fù)專家上門服務(wù)。數(shù)據(jù)修復(fù)專家開(kāi)車抵達(dá)位于順義區(qū)天竺的客戶數(shù)據(jù)中心現(xiàn)場(chǎng)。

　　客戶要恢復(fù)的是Oracle數(shù)據(jù)庫(kù)，oracle數(shù)據(jù)庫(kù)文件被刪除以后，只要是數(shù)據(jù)內(nèi)容沒(méi)有被覆蓋，數(shù)據(jù)恢復(fù)技術(shù)是可以把文件單獨(dú)提取出來(lái)。DST專家經(jīng)過(guò)深入分析，在.journal文件沒(méi)有找到刪除過(guò)的oracle數(shù)據(jù)文件，原因是用戶刪除數(shù)據(jù)以后，系統(tǒng)還在開(kāi)機(jī)運(yùn)行，同時(shí)嘗試啟動(dòng)過(guò)oracle實(shí)例，oracle產(chǎn)生一些日志文件，這些日志文件數(shù)量比較多，而要恢復(fù)的刪除過(guò)的文件數(shù)量只有16個(gè)，在.journal文件中已經(jīng)沒(méi)有了刪除文件的inode信息。最終，數(shù)據(jù)恢復(fù)的思路只有兩條：

　　第一種：根據(jù)Oracle數(shù)據(jù)文件內(nèi)部結(jié)構(gòu)，對(duì)全盤進(jìn)行搜索，符合oracle數(shù)據(jù)頁(yè)面的數(shù)據(jù)都提取出來(lái)，然后按照oracle數(shù)據(jù)文件的ID號(hào)進(jìn)行重新組合。

　　第二種：根據(jù)Oracle數(shù)據(jù)文件分布規(guī)律，精確定位oracle文件的數(shù)據(jù)指針地址，包括一級(jí)間接地址、二級(jí)間接地址和三級(jí)間接地址，重新構(gòu)造出該文件的inode信息，然后把數(shù)據(jù)讀取出來(lái)。

　　數(shù)據(jù)恢復(fù)專家最終恢復(fù)的效果非常好。第二天下午，由于工作量比較大，研發(fā)部的程序員在現(xiàn)場(chǎng)編寫(xiě)了腳本，以提高Oracle數(shù)據(jù)庫(kù)組合進(jìn)度。第三天，oracle能正常啟動(dòng)。工程師把數(shù)據(jù)全部備份出來(lái)，最后發(fā)現(xiàn)有兩個(gè)表數(shù)據(jù)少了一些記錄，經(jīng)查明，原因就是刪除文件以后，一些日志文件的寫(xiě)入該分區(qū)，破壞了oracle數(shù)據(jù)文件的一些數(shù)據(jù)頁(yè)面，幸好這兩張表數(shù)據(jù)對(duì)用戶來(lái)說(shuō)不是很重要，客戶接受數(shù)據(jù)恢復(fù)結(jié)果。

　　數(shù)據(jù)恢復(fù)專家提示：

　　在Linux/UINX下誤刪除了文件，當(dāng)發(fā)現(xiàn)數(shù)據(jù)丟失以后，不要進(jìn)行任何操作，馬上關(guān)機(jī)，保留現(xiàn)場(chǎng)。如果條件不允許關(guān)機(jī)，就要想辦法把數(shù)據(jù)丟失的文件系統(tǒng)經(jīng)過(guò)DD鏡像到另外的存儲(chǔ)空間上作為最原始的備份，以便數(shù)據(jù)恢復(fù)專家現(xiàn)場(chǎng)診斷。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]