一次系統維護中，管理員不小心將data卷下的所有文件全部rm，刪除后，馬上停止系統，再未做其它操作，但刪除時仍有大量終端在訪問此服務器。

    要求恢復mysql數據庫文件，即myd、frm、myi(可重建)文件，或每個數據庫的.gz包，或所有重要數據庫總的.tar.gz備份包。

    [數據恢復分析]

    ext3下的數據刪除，理論上，會清除inode中除節點類型、日期外的其他屬性，諸如文件大小、數據存儲地址等屬性會全部清0，同時目錄表中會以目錄條目長度的方式屏蔽掉已刪除文件，但會保留節點編號， 后會改變BITMAP中的空間占用標志。

    即使是目錄表中存在刪除文件的節點編號，但因節點內容已經沒有需要的東西，與數據區也是脫鉤的。

    從數據角度，大多數文件類型都會有特定的文件頭標志，按頭標志是有可能找到刪除文件的起始位置的，但EXT3以塊組為單位進行存儲，同時數據與索引是混合存儲于數據區的，所以數據連續存儲的可能性非常之小，這樣，按文件格式進行處理也是很困難的。

    唯一的算法是結合上述幾個特征，加上對日志的分析，加上對存儲過程的模擬分析，盡可能地逼近真實存儲結構。

    [數據恢復過程]

    1、對故障卷做完整備份。

    2、對總.tar.gz進行恢復分析，但恢復出來的文件解壓到50%左右會報錯，后續文件列表也無法列出。經分析， 大的原因是刪除時仍有數據寫入破壞文件導致。

    3、對分包的.gz文件進行恢復分析，大多數恢復成功。

    4、對于未恢復成功的.gz數據庫。直接恢復其mydfrm數據文件，所有數據恢復成功。

    [其他]

    1、LINUX EXT3數據刪除后應盡快斷掉文件系統IO，通常umount文件系統即可。

    2、對故障卷做dd備份，確保數據恢復過程不會導致更嚴重的故障。

相關文章

• 上一篇： 諧波的基礎知識
• 下一篇： 電流互感器結構原理