Ext4文件系統fsck後損壞修復過程一例

1.故障發生背景

Ext4文件系統沒有umount下來，之後做了fsck操作檢查一致性，結果導致Ext4文件mount不上，並且導致目錄變成了文件。

報錯提示信息：mount: wrong fs type, bad option, bad superblock

2.故障原理分析

某故障時，日志和數據不一致造成的正常文件系統數據被覆蓋的現象。這種故障在Ext3、Ext4文件系統常有發生，好在.journal日志文件留有緩沖，恢復時可以從.journal日志文件裡找到相應信息，並粘貼回相應位置，達到重建原文件的目的。

3.案例重要信息

Linux系統的硬盤的第一個扇區是MBR扇區，從MBR分區表能看出來，本案例一共有兩個分區。第一個分區是交換分區，共7.8G，第二個分區是Ext4文件系統，共292G。總的大小為300G。

Ext3、Ext4文件系統有日志功能，本案例可以從.journal日志文件中找到丟失數據。

1. 塊大小為4KB，即8個扇區。

2. 超級塊(Superblock)起始位置在1024字節處，即2號扇區，大小為2個扇區。

3. 塊組描述表從第一個塊開始，即從4096字節處開始。

4.案例重要概念

超級塊(Superblock)：用於存儲文件系統的配置參數(如塊大小、總塊數、i-節點數)和動態信息(當前空閒塊數和i-節點數)。Ext4文件系統的超級塊(Superblock)開始於1024字節處，即2號扇區。

塊組：Ext4文件系統的全部空間被劃分為若干個塊組，每個塊組內的結構都是大致相同的。

塊組描述符表：每個塊組都對應一個塊組描述符，這些塊組描述符統一放在文件系統的前部，稱為塊組描述符表。每個塊組描述符大小為32字節，其主要描述塊位圖、i-節點位圖及i-節點表的地址等信息。

i節點：描述文件的時間信息、大小、塊指針等信息。

塊組描述符和超級塊在塊中的位置：當塊大小為2個扇區時，0號塊是引導程序或者保留塊，超級塊起始於1號塊。當塊大小為4個扇區時，引導程序或者保留塊位於0號塊的前兩個扇區，超級塊位於0號塊的後兩個扇區。當塊大小為8個扇區時，引導程序或者保留塊位於0號塊的0-1號扇區，超級塊位於0號塊的2-3號扇區。

Ext4文件系統的整體結構及第一個塊組的具體結構如圖1所示。

5.解決步驟

步驟總結：

1.通過.journal日志文件裡的超級塊備份找到超級塊，確定塊大小。

2.通過.journal日志文件裡的超級塊備份找到超級塊，重建超級塊信息。

3.通過.journal日志文件找到目錄節點，重建(恢復)目錄。

4.通過.journal日志文件找到目錄節點找到要恢復的文件的節點信息，重建(恢復)文件。

首先用WinHex打開Ext4文件系統，可以看到0-23扇區的數據(包括超級塊和塊組描述符)被日志記錄覆蓋。Ext3、Ext4文件系統的日志頁以C0 3B 39 98開頭。如圖2所示。

圖2

1.確定塊大小

超級塊中有關於塊大小的信息。從.journal日志中查找超級塊的備份。用WinHex查找得到.journal日志中超級塊的信息，其標志是“53ef”。查找超級塊方式如圖3所示。查看塊大小方法如圖4和圖5所示。超級塊0x18-0x1B處描述塊大小，確定本案例塊大小為4KB。

圖3

通過超級塊查看塊大小如圖4所示。

圖4

或者WinHex模板編輯器也可以顯示塊大小如圖5所示。

圖5

2. 重建(恢復)超級塊

由於原文件系統超級塊損壞，所以恢復文件時，要把這部分超級塊信息粘貼回去，即放在2號扇區開始，或1024字節處。

做完以上操作，超級塊備份某些地方與實際的超級塊數值可能不一致，需要通過WinHex的模板管理器修改一下。本案例對超級塊所在的塊組作了修改，它在第0個塊組裡。如圖6所示。

圖6

3. 重建(恢復)塊組描述表

由於部分塊組描述表被破壞，所以在.journal日志文件裡找到所有的塊組描述表，並把它們粘貼回去。

.journal日志文件裡，如圖1所示，塊組描述符表存儲在超級塊的後面。所以要找塊組描述表時，可以先找到超級塊。找到後將塊組描述符表內容粘貼到4096字節處。

4. 重建(恢復)目錄

當我們要恢復某個文件夾裡的文件時，比如我們需要恢復kyproc文件夾裡的數據。我們發現這些文件夾在WinHex裡是不能打開的狀態。如圖7所示。很明顯這個目錄損壞了，打開其節點信息，發現正常數據被日志填充，如圖8所示。

圖7

圖8

我們找到它的上一級目錄，即var文件夾。右擊點“open”，打開看到var文件裡的所有文件的目錄信息。找到要恢復的kyproc目錄的信息，12 32 EE 00是其i-節點號，10 00表示其目錄項長度，06表示其文件名稱長度，02表示其文件類型為目錄。如圖9所示。

圖9

然後在var文件夾的目錄塊下查找kyproc目錄的位置，如圖10所示，標紅的位置是找到的結果。此位置顯示所在塊號為62399108。

圖10

根據所在塊號，就可以定位kyproc目錄相應節點的位置。由於人工補節點比較繁瑣，我們可以打開.journal日志文件，從裡面找到其節點信息，把相應的信息粘貼回去。

上述方法可以重建(恢復)目錄，恢復目錄裡的文件也是通過同樣的方法從.journal日志文件裡找到相應的文件的節點信息，找到後粘貼回原來的位置，達到重建(恢復)文件的目的。