服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例

这篇具有很好参考价值的文章主要介绍了服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Ext4文件系统相关概念:
块组:Ext4文件系统的空间被划分为若干个块组,每个块组内的结构大致相同。
块组描述符表:每个块组都对应一个块组描述符,这些块组描述符统一放在文件系统的前部,称为块组描述符表。每个块组描述符大小为32字节,其主要描述块位图、i-节点位图及i-节点表的地址等信息。
超级块(Superblock):用于存储文件系统的配置参数(如块大小、总块数、i-节点数)和动态信息(当前空闲块数和i-节点数)。Ext4文件系统的超级块(Superblock)开始于1024字节处,即2号扇区。
i节点:描述文件的时间信息、大小、块指针等信息。
块组描述符和超级块在块中的位置:当块大小为2个扇区时,0号块是引导程序或者保留块,超级块起始于1号块。当块大小为4个扇区时,引导程序或者保留块位于0号块的前两个扇区,超级块位于0号块的后两个扇区。当块大小为8个扇区时,引导程序或者保留块位于0号块的0-1号扇区,超级块位于0号块的2-3号扇区。
Ext4文件系统结构及第一个块组结构:


服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复

Ext4文件系统故障&初检&分析:
某公司服务器Ext4文件系统umount失败,管理员执行fsck操作检查一致性,导致Ext4文件系统mount不上并报错,报错信息:“mount:wrong fs type,bad option,bad superblock”。
日志和数据的不一致导致正常文件系统数据被覆盖的情况在Ext3、Ext4文件系统中发生频率较高。因为.journal日志文件保留了缓冲数据,可以通过.joumal日志文件找到相应信息并重建源文件。
通过查看MBR分区表得知本案例中的Linux操作系统分了两个分区:交换分区+Ext4文件系统。北亚企安数据恢复工程师通过对该Ext4文件系统的分析,得到以下信息:
1、块大小为固定的4KB,即8个扇区。
2、超级块(Superblock)起始位置在1024字节处,即2号扇区,大小为2个扇区。
3、块组描述表从第一个块开始,即从4096字节处开始。

服务器数据恢复过程:
1、将故障服务器上硬盘取出,检测后没有发现硬件故障。以只读方式将磁盘做全盘镜像,镜像完成后按照原样将磁盘还原到原服务器中。后续的数据分析和数据恢复操作都基于镜像文件进行,避免对原始磁盘数据造成二次破坏。
2、用工具打开Ext4文件系统,可以看到0-23扇区的数据(包括超级块和块组描述符)被日志记录覆盖。Ext3、Ext4文件系统的日志页以C0 3B 39 98开头。
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复

在journal日志中将超级块的备份查找出来,通过工具查找超级块信息,其标志是“53ef”。超级块0x18-0x1B处描述块大小,确定本案例块大小为4KB。
查找超级块:
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复
通过超级块查看块大小:
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复
块大小:
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复

3、由于原文件系统超级块损坏,所以恢复文件时,要把这部分超级块信息粘贴回去,放在2号扇区开始,或1024字节处。做完以上操作,超级块备份某些地方与实际的超级块数值可能不一致,需要通过工具进行修改。对超级块所在的块组进行了修改,超级块在第0个块组里。
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复

4、由于部分块组描述表被破坏,所以需要在.journal日志文件里找到所有的块组描述表并把它们粘贴回去。.journal日志文件里的块组描述符表存储在超级块的后面,要找块组描述表可以先找到超级块,找到后将块组描述符表内容粘贴到4096字节处。
5、恢复某个文件夹比如kyproc文件夹里的数据时,我们发现这些文件夹在WinHex里是不能打开的状态(如下图1所示),很明显这个目录损坏了。打开其节点信息,发现正常数据被日志填充(如下图2所示)。
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复

服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复
找到它的上一级目录,即var文件夹。右击点“open”,打开看到var文件里的所有文件的目录信息。找到要恢复的kyproc目录的信息,12 32 EE 00是其i-节点号,10 00表示其目录项长度,06表示其文件名称长度,02表示其文件类型为目录(如下图所示)。
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复
在var文件夹的目录块下查找kyproc目录的位置(如下图所示),标红的位置是找到的结果。此位置显示所在块号为62399108。
服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例,服务器数据恢复,数据恢复,北亚数据恢复,数据恢复,服务器数据恢复
根据所在块号可以定位kyproc目录相应节点的位置。打开.journal日志文件,从里面找到其节点信息,把相应的信息粘贴回去。
6、通过上述方法重建目录后开始重建目录里的文件。重建目录里的文件也是使用同样的方法:从.journal日志文件里找到相应的文件的节点信息,找到后粘贴回原来的位置,达到重建文件的目的。文章来源地址https://www.toymoban.com/news/detail-700367.html

到了这里,关于服务器数据恢复- Ext4文件系统分区挂载报错的数据恢复案例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 服务器数据恢复-Windows服务器RAID5数据恢复案例

    服务器数据恢复环境: 一台服务器挂载三台IBM某型号存储设备,共64块SAS硬盘,组建RAID5磁盘阵列; 服务器操作系统:Windows Server;文件系统:NTFS。     服务器故障: 一台存储中的一块硬盘离线,热备盘启用开始同步数据。在同步过程中,和离线磁盘同一组Mdisk中的另一块磁

    2024年02月15日
    浏览(67)
  • 服务器数据恢复—服务器进水导致阵列中磁盘同时掉线的数据恢复案例

    服务器数据恢复环境: 数台服务器+数台存储阵列柜,共上百块硬盘,划分了数十组lun。 服务器故障检测: 外部因素导致服务器进水,进水服务器中一组阵列内的所有硬盘同时掉线。 北亚数据恢复工程师到达现场后发现机房内有一台存储柜中的机器都没有开机。和用户方沟

    2024年01月23日
    浏览(50)
  • 服务器数据恢复-reiserfs文件系统损坏如何恢复数据?

    服务器数据恢复环境: 一台IBM X系列服务器,4块SAS硬盘组建一组RAID5阵列,采用的reiserfs文件系统。服务器操作系统分区结构:boot分区+LVM卷+swap分区(按照前后顺序)。LVM卷中直接划分了一个reiserfs文件系统,作为根分区。   服务器故障: 服务器在运行过程中由于未知原因瘫

    2024年02月10日
    浏览(48)
  • 服务器数据恢复-Xen server虚拟机数据恢复案例

    服务器数据恢复环境: 一台某品牌服务器通过一张同品牌某型号RAID卡将4块STAT硬盘组建为一组RAID10阵列。上层部署Xen Server虚拟化平台,虚拟机上安装的是Windows Server操作系统,包括系统盘 +数据盘两个虚拟机磁盘,作为Web服务器使用,存放网站代码、SQL Server数据库以及其他网

    2024年02月09日
    浏览(45)
  • 服务器数据恢复—Storwize V3700存储数据恢复案例

    服务器存储数据恢复环境: 某品牌Storwize V3700存储,10块硬盘组建了2组Mdisk加入到一个存储池中,一共创建了1个通用卷来存放数据,主要数据为oracle数据库。 服务器存储故障: 其中一组Mdisk中两块磁盘出现故障离线,该组Mdisk失效,导致该通用卷无法使用。 服务器存储数据恢

    2024年04月27日
    浏览(45)
  • 【服务器数据恢复】Hyper-V虚拟化数据恢复案例

    服务器数据恢复环境: Windows Server操作系统服务器,部署Hyper-V虚拟化环境,虚拟机的硬盘文件和配置文件存放在某品牌MD3200存储中,MD3200存储中有一组由4块硬盘组成的raid5阵列,存放虚拟机的数据文件;另外还有一块硬盘存放虚拟机数据文件的备份。 服务器故障检测: 由于

    2024年01月21日
    浏览(58)
  • 服务器数据恢复-阵列崩溃导致LVM结构破坏的数据恢复案例

    服务器数据恢复环境: 一台服务器中有两组分别由4块SAS硬盘组建的raid5阵列,两组阵列上层划分LUN组建LVM结构,并被格式化为EXT3文件系统。 服务器故障检测: RIAD5阵列中有一块硬盘故障离线,热备盘激活上线顶替离线硬盘。在热备盘上线同步数据的过程中,该RAID5阵列中又

    2024年02月09日
    浏览(50)
  • 【服务器数据恢复】ZFS文件系统下raid5数据恢复案例

    服务器数据恢复环境: 某公司一台EMC某型号存储中有一组由12块硬盘组建的raid5磁盘阵列,其中有2块盘作为热备盘使用。 服务器故障分析: raid5磁盘阵列中有2块磁盘离线,只有1块热备盘成功启用,另外一块热备盘未启用,raid阵列崩溃。 服务器硬盘离线的原因无非为磁盘出

    2024年02月11日
    浏览(51)
  • 【服务器数据恢复】HP MSA存储raid5数据恢复案例

    服务器故障环境: HP MSA某型号存储,8块SAS的硬盘组建RAID5磁盘阵列,其中包括1块热备盘。故障存储中基于该RAID组的LUN均分配给HP-Unix小机使用,上层做的LVM逻辑卷,存储的数据为Oracle数据库及OA服务端。 服务器故障: RAID5磁盘阵列中2块磁盘未知原因离线,阵列中的热备盘虽

    2023年04月26日
    浏览(51)
  • 服务器数据恢复-EVA存储磁盘故障导致存储崩溃的数据恢复案例

    EVA系列存储是一款以虚拟化存储为实现目的的中高端存储设备。EVA存储中的数据在EVA存储设备工作过程中会不断进行迁移,如果运行的任务比较复杂,EVA存储磁盘负载加重,很容易出现故障的。EVA存储通过大量磁盘的冗余空间和故障后rss冗余磁盘动态迁移来保护存储中的数据

    2024年02月11日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包