一.故障描述
由8塊盤組成的RAID5, 上層是EXT3檔案系統,由于誤删除導緻檔案系統中的郵件丢失
二.鏡像磁盤
為防止資料恢複過程中由于誤操作對原始磁盤造成二次破壞, 使用winhex軟體為每塊磁盤做鏡像, 以後所有的資料恢複操作都在鏡像盤上進行, 不會對原始磁盤造成影響
鏡像結果如下:
圖一
<a href="https://s5.51cto.com/wyfs02/M01/9E/F6/wKioL1magGKStCvWAABO1WLf9jU207.png-wh_500x0-wm_3-wmp_4-s_2612522533.png" target="_blank"></a>
三.組建RAID
通過分析資料在硬碟中分布的規律, 擷取RAID類型, RAID條帶的大小,以及每塊磁盤的順序。根據分析結果使用UFS組建RAID。
結果如下:
圖二
<a href="https://s1.51cto.com/wyfs02/M00/9E/F6/wKioL1magFmRFyF6AAHncwMHWc0963.jpg-wh_500x0-wm_3-wmp_4-s_1793960224.jpg" target="_blank"></a>
四.導出目标分區
從組建好的RAID中可以看出,上層劃分了好幾個EXT3分區,通過對每個分區中底層資料的分析, 發現605G的分區裡面有大量的郵件頭,并且有nsmail目錄, 确認此分區是資料恢複的目标分區,使用UFS軟體将此分區導出,以便後續處理。
圖三
<a href="https://s4.51cto.com/wyfs02/M02/9E/F6/wKioL1magILw4hz0AAAaoxsK7z8364.png-wh_500x0-wm_3-wmp_4-s_2757124105.png" target="_blank"></a>
RAID中的所有分區如下:
nsmail檔案夾:
圖四
郵件頭示例:
圖五
<a href="https://s5.51cto.com/wyfs02/M00/9E/F6/wKioL1magJ6Cu-zHAACCoy8b1ww205.png-wh_500x0-wm_3-wmp_4-s_2835857872.png" target="_blank"></a>
五.郵件恢複
由于EXT3檔案系統中檔案删除後,節點中的檔案大小和塊指針都被清零, 是以很難通過正常手段去恢複。針對EXT3檔案系統的特點和郵件檔案本身的結構,确定算法概要:
在整個檔案系統範圍内,做全盤掃描,将找到的郵件檔案全部取出,然後根據郵件本身記錄的收件人、發件人、抄送、主題等資訊進行整理,最後再将資料遷移到263平台上
詳細過程:
1.完成郵件辨別程式,識别收發人、主題等memi辨別程式編寫。
2.完成ext3超過48k郵件提取程式編寫。
3.按小于48k、大于48k兩種算法對郵件進行提取。提取同時,生成郵件索引資訊庫,并且提取非自由空間和非郵件區。
4.對3中提取的非自由空間和非郵件區進行人工分析,确定有無遺漏的郵件,如果有,确定遺漏的原因,調整算法,重新進行掃描。
5.重複3,4過程,直到最後的非自由空間和非郵件區中沒有遺漏的郵件。
6. 對所有提取出的郵件,按照資料庫中解析到的收件人和發件人歸類,每個賬号一個檔案夾,内含收件和發件兩個檔案夾。
結果:
第一次 導出郵件 68.2G, 資料量 692,767 個檔案
第二次 算法改進後, 導出郵件 77.2G, 資料量 720,209 個檔案, 多了3萬檔案左右
第三次 再次改進算法, 導出郵件 84.8G, 資料量 895,032 個檔案, 比第二次多了174823
總的存儲空間是605G, 郵件區占用84.8G 剩下的有491.6G 自由空間,屬于全零區域,肯定沒有郵件了,非自由空間和非郵件區的垃圾資料有28.6G
經過3次大的算法改進,以及中途無數的細節增删,至此,剩餘的非自由空間和非郵件區經人工驗證也已經無法找到新的郵件檔案,隻剩下一些郵件的中間碎片,無法進行拼接,以及一些雜亂資料,此結果經北亞資料恢複總監親自稽核。
示例如下,郵件中間碎片:
圖六
<a href="https://s4.51cto.com/wyfs02/M01/9E/F6/wKioL1magK3ieILEAAHinoEMzjc761.png-wh_500x0-wm_3-wmp_4-s_424450287.png" target="_blank"></a>
垃圾資料:
圖七
六.驗證資料
驗證資料分為兩部分,一個是郵件資料量的驗證,通過對幾個已知賬号的收件和發件數量的統計,大概估算一下郵件的回複比例。二是郵件正确性的驗證,用FoxMail打開提取出的郵件,檢視内容是否正常.幾個賬号的數量如下:
圖八
<a href="https://s3.51cto.com/wyfs02/M01/00/46/wKiom1magMjRYsdpAABFjhVA1_s672.png-wh_500x0-wm_3-wmp_4-s_1092620468.png" target="_blank"></a>
一些郵件内容:
圖九
<a href="https://s2.51cto.com/wyfs02/M01/9E/F6/wKioL1magMvg2-DGAADqBCIYhBk003.png-wh_500x0-wm_3-wmp_4-s_2619953061.png" target="_blank"></a>
圖十
七.移交資料
配合客戶将所有提取出的郵件遷移到263平台
本文轉自 宋國建 51CTO部落格,原文連結:http://blog.51cto.com/sun510/1958029,如需轉載請自行聯系原作者
![查找算法之二分查找查找算法之二分查找[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)