当前位置：首页 > news >正文

服务器数据恢复-EXT3分区误删除邮件的数据恢复案例

news 2025/12/28 19:55:07

服务器数据恢复环境：
一台服务器有一组由8块盘组建的RAID5阵列，EXT3文件系统。

服务器故障：
由于工作人员的误操作导致文件系统中的邮件丢失。用户需要恢复丢失的邮件数据。

服务器数据恢复过程：
1、将故障服务器中所有磁盘以只读方式进行全盘镜像备份。后续的数据分析和数据恢复操作都在镜像盘上进行, 避免对原始磁盘数据造成二次破坏。

镜像截图：

2、基于镜像文件分析数据在硬盘上的分布规律，获取RAID类型,、RAID条带大小，盘序等raid相关信息。利用这些raid信息虚拟重构RAID。

3、通过重构好的RAID阵列可以看到上层划分了数个EXT3分区。分析每个分区中底层数据, 发现其中一个分区里有大量的邮件头和nsmail目录,，可以确认此分区就是需要恢复数据的目标分区，使用工具将此分区导出。

RAID中的所有分区：

nsmail文件夹：

邮件头示例：

4、EXT3文件系统中文件被删除后，节点中的文件大小和块指针都会被清零，很难通过常规手段去恢复数据。针对EXT3文件系统的特点和邮件文件本身的结构，北亚企安数据恢复工程师敲定数据恢复方案：扫描整个文件系统，将找到的邮件文件全部取出，然后根据邮件本身记录的收件人、发件人、抄送、主题等信息进行整理，最后迁移数据。详细过程：
a、北亚企安数据恢复工程师编写邮件标识程序和ext3文件系统邮件提取程序。
b、按小于48k、大于48k两种算法对邮件进行提取。提取同时生成邮件索引信息库，并且提取非自由空间和非邮件区。
c、人工分析提取的非自由空间和非邮件区进行，确定是否有遗漏的邮件。如果有则确定遗漏的原因，调整算法重新进行扫描。
d、重复上述两步，直到最后的非自由空间和非邮件区中没有遗漏的邮件。
e、将所有提取出来的邮件按照数据库中解析到的收件人和发件人归类，每个账号一个文件夹，内含收件和发件两个文件夹。
经过数次算法改进和多次细节增删，剩余的非自由空间和非邮件区经过人工验证也无法找到新的邮件文件，只剩下一些无法拼接的邮件中间碎片和一些杂乱数据。

邮件中间碎片：

垃圾数据：

验证数据：
验证数据分为两部分：1、邮件数据量的验证。通过对几个已知账号的收件和发件数量的统计，大概估算一下邮件的恢复比例。2、邮件正确性的验证。用FoxMail打开提取出的邮件，查看内容是否正常。

几个账号的数量：

一些邮件内容：

经过验证，用户方确认恢复出来的重要邮件数据都在，认可恢复结果。北亚企安数据恢复工程师配合用户将所有提取出的邮件迁移到用户指定的邮件平台。

服务器数据恢复-EXT3分区误删除邮件的数据恢复案例

相关文章：

服务器数据恢复-EXT3分区误删除邮件的数据恢复案例

C 语言的逗号运算符

无人车沿着指定线路自动驾驶与远程控制的实践应用

C++ 多态性——纯虚函数与抽象类

小程序如何使用防抖和节流？

计算机三级网络技术（持续更新）

Django Rest_Framework（二）

Kotlin～Visitor访问者模式

LVS-DR模式集群构建过程演示

UML-A 卷-知识考卷

BpBinder与PPBinder调用过程——Android开发Binder IPC通信技术

篇十五：模板方法模式：固定算法的步骤

web-ssrf

【HarmonyOS】【续集】实现从视频提取音频并保存到pcm文件功能（API6 Java）

MySQL为什么要使用 B+Tree 作为索引结构？

Three.js阴影

VSCode Remote-SSH (Windows)

现代C++中的从头开始深度学习【1/8】：基础知识

Jwt（Json web token）——使用token的权限验证方法用户+角色+权限表设计 SpringBoot项目应用

SpringWeb项目核心功能总结

关于nvm与node.js

【网络安全产品大调研系列】2. 体验漏洞扫描

【机器视觉】单目测距——运动结构恢复

el-switch文字内置

江苏艾立泰跨国资源接力：废料变黄金的绿色供应链革命

基于Docker Compose部署Java微服务项目

【C++从零实现Json-Rpc框架】第六弹 —— 服务端模块划分

华硕a豆14 Air香氛版，美学与科技的馨香融合

初探Service服务发现机制

JVM 内存结构详解