為了更好的確保數據安全,企業級數據一般都存儲在安全性及穩定性更高的Linux及Unix內核系統的存儲設備上。據知名數據恢復品牌達思科技統計,企業級數據恢復案例較多的集中在Windows內核的服務器。不過,Windows內核的數據恢復技術難度不大,而Linux及Unix出故障的概率比較小,但是一旦出現問題,數據恢復難度非常大,達思數據恢復公司經過多年的艱苦研究,終於在Unix(IBM AIX,HP-Unix)及Linux系統下的各種文件系統(如:EXT3、JFS2、ReiserFS等)的數據恢復取得了突破性進展。
下面,我們看一個比較典型的Ext3文件系統誤刪除的成功案例,這在達思數據恢復眾多的案例中比較典型。
客戶:日本某全球500強公司
服務器環境 :浪潮服務器,3塊硬盤做的Raid5。
文件系統:EXT3
發生故障時間:2010年3月18 上午10點左右
工程師誤操作:維護工程師停掉oracle服務,打算把oracle做一個冷備份,然後把Oracle庫文件備份到windows PC Server上,再用CuteFTP的客戶端下載。在下載過程中,發現下載速度特別慢,想刪除下載任務,結果誤操作,把要下載的oracle實例文件夾整個都刪除了, oracle庫文件、控制文件、日志文件全部刪除。
達思數據恢復:EXT3文件系統誤刪除數據恢復技術介紹
實際上,Linux操作系統的EXT3文件系統並沒有預留反刪除的功能。在EXT3文件系統中,每個文件都是通過Inode來描述其數據存放的具體位置,當文件被刪除以後,Inode的數據指針部分被清零,文件目錄區沒有太多變化。文件的讀寫都是通過Inode來實現,當Inode數據指針被清零以後,即便文件內容還在,也沒有辦法把文件內容組合出來。
EXT3文件系統是一種帶日志功能的文件系統,Inode的變化會在日志文件.journal中有記錄,.journal文件比較小,一般是 32MB。當EXT3文件系統中的metadata數據發生變化時,相應的metadata在.journal文件會有一份COPY。比如一個文件被刪除了,它的Inode信息會在.journal文件中先保存一份,然後把要刪除文件inode相關信息清零。這個.journal文件是循環使用的,當操作過多時,刪除的文件的inode日志記錄會被新的數據替換,這就徹底喪失了根據inode找回數據的機會了。如果是大量文件的刪除,這個.journal 文件會被反復循環利用多次,只留給最後刪除的那些文件的恢復機會。