服务器数据恢复-EXT3文件系统下邮件数据恢复案例

服务器数据恢复环境：
一台服务器有一组由8块盘组建的RAID5阵列，EXT3文件系统。

服务器故障：
由于工作人员的误操作导致文件系统中的邮件丢失。用户需要恢复丢失的邮件数据。

服务器数据恢复过程：
1、将故障服务器中所有磁盘以只读方式进行全盘镜像备份。后续的数据分析和数据恢复操作都在镜像盘上进行, 避免对原始磁盘数据造成二次破坏。

镜像截图：

北亚企安数据恢复——EXT3文件系统数据恢复

2、基于镜像文件分析数据在硬盘上的分布规律， 获取RAID类型,、RAID条带大小，盘序等raid相关信息。利用这些raid信息虚拟重构RAID。

北亚企安数据恢复——EXT3文件系统数据恢复

3、通过重构好的RAID阵列可以看到上层划分了数个EXT3分区。分析每个分区中底层数据, 发现其中一个分区里有大量的邮件头和nsmail目录,，可以确认此分区就是需要恢复数据的目标分区，使用工具将此分区导出。

RAID中的所有分区：

北亚企安数据恢复——EXT3文件系统数据恢复

nsmail文件夹：

北亚企安数据恢复——EXT3文件系统数据恢复

邮件头示例：

北亚企安数据恢复——EXT3文件系统数据恢复

4、EXT3文件系统中文件被删除后，节点中的文件大小和块指针都会被清零，很难通过常规手段去恢复数据。针对EXT3文件系统的特点和邮件文件本身的结构，北亚企安数据恢复工程师敲定数据恢复方案：扫描整个文件系统，将找到的邮件文件全部取出，然后根据邮件本身记录的收件人、发件人、抄送、主题等信息进行整理，最后迁移数据。详细过程：
a、北亚企安数据恢复工程师编写邮件标识程序和ext3文件系统邮件提取程序。
b、按小于48k、大于48k两种算法对邮件进行提取。提取同时生成邮件索引信息库，并且提取非自由空间和非邮件区。
c、人工分析提取的非自由空间和非邮件区进行，确定是否有遗漏的邮件。如果有则确定遗漏的原因，调整算法重新进行扫描。
d、重复上述两步，直到最后的非自由空间和非邮件区中没有遗漏的邮件。
e、将所有提取出来的邮件按照数据库中解析到的收件人和发件人归类，每个账号一个文件夹，内含收件和发件两个文件夹。
经过数次算法改进和多次细节增删，剩余的非自由空间和非邮件区经过人工验证也无法找到新的邮件文件，只剩下一些无法拼接的邮件中间碎片和一些杂乱数据。

邮件中间碎片：

北亚企安数据恢复——EXT3文件系统数据恢复

垃圾数据：

北亚企安数据恢复——EXT3文件系统数据恢复

验证数据 ：
验证数据分为两部分：1、邮件数据量的验证。通过对几个已知账号的收件和发件数量的统计，大概估算一下邮件的恢复比例。2、邮件正确性的验证。用FoxMail打开提取出的邮件，查看内容是否正常。

几个账号的数量：

北亚企安数据恢复——EXT3文件系统数据恢复

一些邮件内容：

北亚企安数据恢复——EXT3文件系统数据恢复

北亚企安数据恢复——EXT3文件系统数据恢复

经过验证，用户方确认恢复出来的重要邮件数据都在，认可恢复结果。北亚企安数据恢复工程师配合用户将所有提取出的邮件迁移到用户指定的邮件平台。

审核编辑 黄宇