服務器數據恢復環境：
一臺服務器有一組由8塊盤組建的RAID5陣列，EXT3文件系統。

服務器故障：
由于工作人員的誤操作導致文件系統中的郵件丟失。用戶需要恢復丟失的郵件數據。

服務器數據恢復過程：
1、將故障服務器中所有磁盤以只讀方式進行全盤鏡像備份。后續的數據分析和數據恢復操作都在鏡像盤上進行, 避免對原始磁盤數據造成二次破壞。

鏡像截圖：

北亞企安數據恢復——EXT3文件系統數據恢復

2、基于鏡像文件分析數據在硬盤上的分布規律， 獲取RAID類型,、RAID條帶大小，盤序等raid相關信息。利用這些raid信息虛擬重構RAID。

北亞企安數據恢復——EXT3文件系統數據恢復

3、通過重構好的RAID陣列可以看到上層劃分了數個EXT3分區。分析每個分區中底層數據, 發現其中一個分區里有大量的郵件頭和nsmail目錄,，可以確認此分區就是需要恢復數據的目標分區，使用工具將此分區導出。

RAID中的所有分區：

北亞企安數據恢復——EXT3文件系統數據恢復

nsmail文件夾：

北亞企安數據恢復——EXT3文件系統數據恢復

郵件頭示例：

北亞企安數據恢復——EXT3文件系統數據恢復

4、EXT3文件系統中文件被刪除后，節點中的文件大小和塊指針都會被清零，很難通過常規手段去恢復數據。針對EXT3文件系統的特點和郵件文件本身的結構，北亞企安數據恢復工程師敲定數據恢復方案：掃描整個文件系統，將找到的郵件文件全部取出，然后根據郵件本身記錄的收件人、發件人、抄送、主題等信息進行整理，最后遷移數據。詳細過程：
a、北亞企安數據恢復工程師編寫郵件標識程序和ext3文件系統郵件提取程序。
b、按小于48k、大于48k兩種算法對郵件進行提取。提取同時生成郵件索引信息庫，并且提取非自由空間和非郵件區。
c、人工分析提取的非自由空間和非郵件區進行，確定是否有遺漏的郵件。如果有則確定遺漏的原因，調整算法重新進行掃描。
d、重復上述兩步，直到最后的非自由空間和非郵件區中沒有遺漏的郵件。
e、將所有提取出來的郵件按照數據庫中解析到的收件人和發件人歸類，每個賬號一個文件夾，內含收件和發件兩個文件夾。
經過數次算法改進和多次細節增刪，剩余的非自由空間和非郵件區經過人工驗證也無法找到新的郵件文件，只剩下一些無法拼接的郵件中間碎片和一些雜亂數據。

郵件中間碎片：

北亞企安數據恢復——EXT3文件系統數據恢復

垃圾數據：

北亞企安數據恢復——EXT3文件系統數據恢復

驗證數據 ：
驗證數據分為兩部分：1、郵件數據量的驗證。通過對幾個已知賬號的收件和發件數量的統計，大概估算一下郵件的恢復比例。2、郵件正確性的驗證。用FoxMail打開提取出的郵件，查看內容是否正常。

幾個賬號的數量：

北亞企安數據恢復——EXT3文件系統數據恢復

一些郵件內容：

北亞企安數據恢復——EXT3文件系統數據恢復

北亞企安數據恢復——EXT3文件系統數據恢復

經過驗證，用戶方確認恢復出來的重要郵件數據都在，認可恢復結果。北亞企安數據恢復工程師配合用戶將所有提取出的郵件遷移到用戶指定的郵件平臺。

審核編輯 黃宇