【伺服器資料恢復】伺服器誤刪除導致郵件資料丟失的資料恢復案例

伺服器資料恢復環境：

8塊盤組成的RAID5磁碟陣列；

EXT3檔案系統。

伺服器故障：

由於誤刪除導致檔案系統中的郵件丟失。

伺服器資料恢復過程：

一、伺服器資料恢復工程師為每塊磁碟做映象, 後續所有的資料恢復操作都在映象盤上進行, 不會對原始磁碟資料造成二次

破壞。

二、分析資料在硬碟中分佈的規律，獲取RAID型別、RAID條帶大小、每塊磁碟的順序等RAID資訊。根據獲取到的RAID信

息重新組建RAID。

三、從組建好的RAID中可以看到上層劃分了數個EXT3分割槽。透過分析每個EXT3分割槽中的底層資料，發現一個分割槽裡面有

大量的郵件頭和nsmail目錄。確認此分割槽就是資料恢復的目標分割槽，使用工具將此分割槽匯出以便後續處理。

RAID中的所有分割槽如下：

nsmail資料夾：

郵件頭示例：

四、恢復郵件。

由於EXT3檔案系統中的檔案被刪除後，節點中的檔案大小和塊指標都被清零，很難透過常規手段去恢復。針對EXT3檔案

系統的特點和郵件檔案本身的結構，資料恢復工程師制定恢復方案：首先對整個檔案系統做掃描，將找到的郵件檔案全部

取出，然後根據郵件本身記錄的收件人、發件人、抄送、主題等資訊進行整理，最後再將資料遷移到263平臺上。

郵件恢復的詳細過程：

1、北亞資料恢復工程師編寫識別收發人、主題等memi標識的程式和ext3超過48k郵件的提取程式。

2、按小於48k、大於48k兩種演算法對郵件進行提取。提取的同時生成郵件索引資訊庫，並提取非自由空間和非郵件區。

3、人工分析提取的非自由空間和非郵件區，確認是否有遺漏的郵件。如果有遺漏則確定遺漏的原因，調整演算法重新進行掃描。

4、重複2、3這2步的過程，直到所有的非自由空間和非郵件區中沒有遺漏的郵件。

5、把所有提取出的郵件按照資料庫中解析到的收件人和發件人歸類，每個賬號一個資料夾（內含收件和發件兩個資料夾）。

郵件恢復結果:

第一次匯出郵件68.2G，692,767個檔案

第二次改進演算法，匯出郵件77.2G，720,209個檔案。

第三次再次改進演算法，匯出郵件84.8G，895,032個檔案。

總的儲存空間是605G，郵件區佔用84.8G，剩下的自由空間屬於全零區域，肯定沒有郵件了，非自由空間和非郵件區的垃

圾資料有幾十G。

經過3次演算法改進和記不清多少次的細節增刪，經過人工驗證在剩餘的非自由空間和非郵件區已經無法找到新的郵件檔案。

剩下的一些郵件中間碎片無法進行拼接，然後還有一些雜亂的資料。

郵件中間碎片：

垃圾資料：

驗證資料：

驗證資料分為兩部分，一是郵件資料量的驗證，透過對幾個已知賬號的收件和發件數量的統計大概估算一下郵件的回覆比例

。二是郵件正確性的驗證，用FoxMail開啟提取出的郵件，檢視內容是否正常。經過使用者反覆驗證，確認本次恢復出來的數

據完整有效。

幾個賬號的數量如下：

一些郵件內容：

移交資料：

配合使用者將所有提取出的郵件遷移到263平臺。至此本次資料恢復完成。