【伺服器資料恢復】EXT4檔案系統分割槽無法掛載的資料恢復案例

伺服器資料恢復環境：

某品牌PowerEdge系列伺服器，磁碟陣列儲存型號為該品牌MD3200系列儲存，分配lun；

linux centos 7作業系統，EXT4檔案系統。

伺服器故障：

伺服器在工作中由於未知原因突然關機且無法啟動，管理員經過修復後可以啟動伺服器，但伺服器的某個分割槽無法掛載。管理

員對無法掛載的分割槽執行了fsck修復，修復完成後該分割槽可以成功掛載，但是檢視該分割槽資料後發現部分檔案丟失。

伺服器資料恢復過程：

1、資料恢復工程師到達現場後將故障伺服器以只讀模式對映到北亞企安資料恢復伺服器上，將所有硬碟資料以只讀方式映象

到資料恢復伺服器上，後續資料分析和資料恢復操作都基於映象檔案進行，避免對原始資料造成二次破壞。

2、透過對映象檔案的分析，資料恢復工程師初步診斷導致該伺服器故障的原因是機房供電不穩引起的伺服器非正常關機。

3、仔細分析故障伺服器的底層資料，發現伺服器的異常斷電導致目錄項被破壞，所幸的是底層資料依然存在，只需要資料恢

復工程師手工修復即可恢復資料。

4、由於管理員對檔案系統執行了fsck修復，被破壞的目錄項在修復失敗後以目錄節點號命名，並存放於lost+found目錄內，

隨後又清除了這些目錄項所對應的資料區索引。這就是分割槽掛載成功後部分檔案丟失的原因。這樣的情況想要恢復資料，可以

根據被刪除的虛擬磁碟檔案的檔案系統和檔案型別在vmfs卷自由空間中進行排查，匹配碎片並重新合併，最終透過這種方式將

刪除的虛擬磁碟檔案恢復。

5、由於故障伺服器採用的是EXT4檔案系統，EXT4檔案系統有一個特點就是檔案丟失後其節點資訊也會被清除，所以在本案例

不能採用基於節點資訊進行還原的方法來恢復資料，而是根據丟失的檔案目錄項節點號匹配lost+found目錄下的檔名稱這

種方式來恢復資料。因為lost+found目錄下的檔案命名規則就是該檔案的目錄項節點號。可以先提取目錄項節點號並與

lost+found目錄下的檔名進行一一對應，最終還原出伺服器的原始目錄結構。

6、基於映象檔案分析底層，在底層空間掃描目錄項的區域，將目錄項的節點號、數量等資訊進行統計和記錄，根據伺服器

磁碟中的檔案系統資訊將統計到的目錄項和節點號進行整合匹配，然後匹配lost+found目錄下的檔案記錄號，最終將服務

器分割槽丟失的資料恢復出來。

7、經過管理員對恢復出來的資料進行反覆驗證後，確認恢復出來的資料完整有效，本次資料恢復工作完成。