服務器數據恢復環境：

8塊盤組成的RAID5磁盤陣列；
EXT3文件系統。

服務器故障：

由于誤刪除導致文件系統中的郵件丟失。

服務器數據恢復過程：

一、服務器數據恢復工程師為每塊磁盤做鏡像, 后續所有的數據恢復操作都在鏡像盤上進行, 不會對原始磁盤數據造成二次破壞。

北亞數據恢復——恢復郵件數據

二、分析數據在硬盤中分布的規律，獲取RAID類型、RAID條帶大小、每塊磁盤的順序等RAID信息。根據獲取到的RAID信息重新組建RAID。

北亞數據恢復——恢復郵件數據

三、從組建好的RAID中可以看到上層劃分了數個EXT3分區。通過分析每個EXT3分區中的底層數據，發現一個分區里面有大量的郵件頭和nsmail目錄。確認此分區就是數據恢復的目標分區，使用工具將此分區導出以便后續處理。

RAID中的所有分區如下：

北亞數據恢復——恢復郵件數據

nsmail文件夾：

北亞數據恢復——恢復郵件數據

郵件頭示例：

北亞數據恢復——恢復郵件數據

四、恢復郵件。

由于EXT3文件系統中的文件被刪除后，節點中的文件大小和塊指針都被清零，很難通過常規手段去恢復。針對EXT3文件系統的特點和郵件文件本身的結構，數據恢復工程師制定恢復方案：首先對整個文件系統做掃描，將找到的郵件文件全部取出，然后根據郵件本身記錄的收件人、發件人、抄送、主題等信息進行整理，最后再將數據遷移到263平臺上。

郵件恢復的詳細過程：

1、北亞數據恢復工程師編寫識別收發人、主題等memi標識的程序和ext3超過48k郵件的提取程序。

2、按小于48k、大于48k兩種算法對郵件進行提取。提取的同時生成郵件索引信息庫，并提取非自由空間和非郵件區。

3、人工分析提取的非自由空間和非郵件區，確認是否有遺漏的郵件。如果有遺漏則確定遺漏的原因，調整算法重新進行掃描。

4、重復2、3這2步的過程，直到所有的非自由空間和非郵件區中沒有遺漏的郵件。

5、把所有提取出的郵件按照數據庫中解析到的收件人和發件人歸類，每個賬號一個文件夾（內含收件和發件兩個文件夾）。

郵件恢復結果:

第一次導出郵件68.2G，692,767個文件

第二次改進算法，導出郵件77.2G，720,209個文件。

第三次再次改進算法，導出郵件84.8G，895,032個文件。

總的存儲空間是605G，郵件區占用84.8G，剩下的自由空間屬于全零區域，肯定沒有郵件了，非自由空間和非郵件區的垃圾數據有幾十G。

經過3次算法改進和記不清多少次的細節增刪，經過人工驗證在剩余的非自由空間和非郵件區已經無法找到新的郵件文件。剩下的一些郵件中間碎片無法進行拼接，然后還有一些雜亂的數據。

郵件中間碎片：

北亞數據恢復——恢復郵件數據

垃圾數據：

北亞數據恢復——恢復郵件數據

驗證數據：

驗證數據分為兩部分，一是郵件數據量的驗證，通過對幾個已知賬號的收件和發件數量的統計大概估算一下郵件的回復比例。二是郵件正確性的驗證，用FoxMail打開提取出的郵件，查看內容是否正常。經過用戶反復驗證，確認本次恢復出來的數據完整有效。

幾個賬號的數量如下：

北亞數據恢復——恢復郵件數據

一些郵件內容：

北亞數據恢復——恢復郵件數據

北亞數據恢復——恢復郵件數據

移交數據：

配合用戶將所有提取出的郵件遷移到263平臺。至此本次數據恢復完成。

審核編輯 黃昊宇