达思带你敲开LINUX数据恢复之门

dssj

达在数据恢复技术领域里，Linux操作系统下的Ext3/Ext4文件系统下数据删除以后的恢复是一个相对比较难的技术问题，因为Ext3/Ext4文件系统下删除文件以后，被删除的文件的原始inode信息中数据指针地址会被清零，inode是文件的灵魂，inode被破坏，文件也就随之香消玉殒，只留下支离破碎的尸体碎片散落在硬盘的各个角落，文件的主人只能对硬盘默哀了！

值得庆幸的是，Ext3/Ext4文件系统是一种日志型文件系统，当格式化分区的时候，文件系统分配一个inode号等于8的文件作为分区日志文件，Linux把它叫做Journal文件，Journal就是日志的意思。这个Journal文件的大小是格式化的时候定好的，根据整个分区总体大小来决定Journal分配空间大小，一般数值是64MB、128MB、256MB等，这个文件不会太大。

所谓的日志型文件系统，就是文件系统中做了什么操作，操作系统就把它记录下来，比如创建一个新文件，操作系统会在日志文件中记录下来， 删除一个文件，操作系统也会在日志文件中记录下来，记录的信息包括文件名称、文件ionde信息等。它的操作步骤是:假如我删除一个文件，操作系统会把这个文件的文件名和inode等信息写到日志文件中，然后把文件删除，并清空删除文件的原始inode数据指针，这个删除过程就完成了！我们可以发现，这个被删除的文件在临死之前，操作系统把它的文件名和inode信息记录了一份，这就给数据恢复留了一手！

我们虽然找到了恢复的门路，但细心的人会发觉，这个Journal文件大小是固定的，它所记录的内容是有限的，如果 Journal文件存满了，它会自动释放前面的空间，循环使用，周而复始，所以Journal文件记录的永远是最新的操作记录。

我们举个例子，删除100 个文件和删除10万个文件的区别，删除100个文件时，假如只需要记录100个文件名和100个inode信息，这个Journal文件能轻松存放这些信息。删除10万个文件时，需要记录10万个文件名和10万个inode信息，这个数量这个Journal文件恐怕不能一次性保存下来，它只能循环使用它的空间，只记录最后操作删除文件的信息。从这个角度看，Ext3/Ext4文件系统数据删除以后的是否能恢复，是有条件的。

下面我们用达思数据恢复软件D-Recovery For Linux来演示一下怎样恢复Ext3/Ext4文件系统删除后的数据。

1、首先我们在VMWARE下的Linux虚拟机格式化一个10GB的硬盘,格式化成Ext3文件系统

（格式化分区，我们看到格式化过程中出现Creating journal (32768 blocks)，这个步骤就是创建journal日志文件。）

2、格式化完成以后,mount分区，往分区中写入数据

（mount格式化后的分区,mount到/mysql目录下）

（通过SSH客户端，把数据上传到/mysql挂载的文件系统下）

3、数据写入完成，umount /mysql，用D-Recovery For Linux 展开分区

（umount 文件系统）

（根目录信息）

（ucenter目录下的文件）

（我们还看到，MetaDataDir下有个$Journal文件，这就是日志文件，大小128MB）

4、删除ucenter目录，然后用D-Recovery For Linux扫描，对比结果

（删除ucenter目录）

（展开后ucenter目录不见了）

（扫描丢失文件，选择根据日志恢复）

（扫描过程）

（扫描完成以后,左边多出一个JournalRoot目录,该目录下显示出被删除的文件,这些文件就是原先ucenter目录下的文件）


小结：
Ext3/Ext4文件系统下数据删除后的恢复原理上很简单，就是根据日志文件残留inode信息来恢复，由于日志文件大小有限，不可能记录下大量文件操作过程中产生的记录。D-Recovery For Linux能应对Ext3/Ext4文件系统下少量文件删除以后的恢复，恢复方法简单易用。若是面对大量文件的删除恢复，目前还没有很好的解决方案。但是对于大文件以及oracle数据库文件的恢复，可以采用逆向推算和oracle数据文件特点来提取，也能达到很好的效果。
任何数据能恢复的前提是，这个要恢复的数据没有被新写入的数据覆盖。

关于达思科技

    达思科技，国家级高新技术企业，中国著名的数据恢复软件、司法取证软件、涉密信息处理技术研发机构，数据恢复行业的著名品牌，手机数据恢复软件研发先驱。达思科技在数据恢复技术领域一直处于行业领先地位，尤其在企业级数据库修复技术、苹果数据恢复技术、Unix及Linux大型存储设备数据恢复（UFS文件系统数据恢复、XFS文件系统数据恢复、IBM-AIX JFS2文件系统数据恢复技术、Vmware虚拟机数据恢复技术、HP EVA磁盘阵列数据恢复、苹果MAC数据恢复等）技术方面，是行业的佼佼者，成功案例无数。

    达思数据恢复培训一直领跑高端市场，中高级班学员已经突破一百人，学成的学员在各行各业担当数据恢复专家的角色。此外，达思数据恢复高级学员有机会获赠达思数据恢复软件企业版版。

    达思数据恢复实验室是多家涉密单位和科研机构指定的技术支持单位，达思科技不仅从数据恢复实验室的设计、施工入手，建成后的维护保养，数据恢复技术培训等全方位进行支持。此外，中高职院校的数据恢复实训室设计与建设能力突出，具有丰富的实战经验。典型成功案例有天津市国家保密局数据恢复实验室建设、总装备部装甲兵工程学院数据恢复实训室建设、总参谋部某研究中心数据恢复实验室建设项目、三亚市人民检察院司法取证实验室建设等。   

2012danfong

先前才走了专对「达思」打广告占篇幅的老哥，现在又来一个啦！2013/10/24 注册，又发这些把「达思」当作神器一样，到底烦不烦啊！