由 尚观科技 于 星期三, 09/21/2011 - 11:40 发表
数据丢失案例背景:
计算机维护工程师停掉oracle服务,打算把oracle做一个冷备份,把库文件备份到windows PC Server上,用CuteFTP客户端下载。在下载过程中,发现下载速度特别慢,想删除下载任务,结果误操作,把要下载的oracle实例文件夹整个都删除了, oracle库文件、控制文件、日志文件全部删除了。
LINUX下EXT3文件系统恢复技术介绍:
EXT3文件系统没有预留反删除的功能。
在 EXT3文件系统中,每个文件都是通过Inode来描述其数据存放的具体位置,当删除文件以后,Inode的数据指针部分被清零,文件目录区没有太多变化。文件的读写都是通过Inode来实现,当Inode数据指针被清零以后,即便文件内容还在,我们也没有办法把文件内容组合出来。
EXT3 文件系统是一种带日志功能的文件系统,Inode的变化会在日志文件.journal中有记录,.journal文件比较小,一般是32MB。当EXT3 文件系统中的metadata数据发生变化时,相应的metadata在.journal文件会有一份COPY。比如一个文件被删除了,它的Inode信息会在.journal文件中先保存一份,然后把要删除文件inode相关信息清零。这个.journal文件是循环使用的,当操作过多时,删除的文件的 inode日志记录会被新的数据替换,这就彻底丧失了根据inode找回数据的机会了。如果是大量文件的删除,这个.journal文件会被反复循环利用多次,只留给最后删除的那些文件的恢复机会。
数据恢复技术:
客户要恢复的是oracle数据库,oracle数据库文件被删除以后,只要是数据内容没有被覆盖,达思数据恢复技术可以把文件单独提取出来。
经过深入分析,在.journal文件没有找到删除过的oracle数据文件,原因是用户删除数据以后,系统还在开机运行,同时尝试启动过oracle实例,oracle产生一些日志文件,这些日志文件数量比较多,而要恢复的删除过的文件数量只有16个,在.journal文件中已经没有了删除文件的 inode信息。
恢复的思路有两条:
第一种:根据oracle数据文件内部结构,对全盘进行搜索,符合oracle数据页面的数据都提取出来,然后按照oracle数据文件的ID号进行重新组合。
第二种:根据oracle数据文件分布规律,精确定位oracle文件的数据指针地址,包括一级间接地址、二级间接地址和三级间接地址,重新构造出该文件的inode信息,然后把数据读取出来。
通过这两种恢复出来的数据效果都很好,最后oracle能正常启动。工程师把数据全部备份出来,最后发现有两个表数据少了一些记录,经查明,原因就是删除文件以后,一些日志文件的写入该分区,破坏了oracle数据文件的一些数据页面,幸好这两张表数据对用户来说不是很重要。
数据安全提醒:
在LINUX/UINX下误删除了文件,当发现数据丢失以后,最好不要进行任何操作,马上关机,保留现场。如果条件不允许关机,就要想办法把数据丢失的文件系统经过DD镜像到另外的存储空间上作为最原始的备份。
http://www.uplookingsh.com
计算机维护工程师停掉oracle服务,打算把oracle做一个冷备份,把库文件备份到windows PC Server上,用CuteFTP客户端下载。在下载过程中,发现下载速度特别慢,想删除下载任务,结果误操作,把要下载的oracle实例文件夹整个都删除了, oracle库文件、控制文件、日志文件全部删除了。
LINUX下EXT3文件系统恢复技术介绍:
EXT3文件系统没有预留反删除的功能。
在 EXT3文件系统中,每个文件都是通过Inode来描述其数据存放的具体位置,当删除文件以后,Inode的数据指针部分被清零,文件目录区没有太多变化。文件的读写都是通过Inode来实现,当Inode数据指针被清零以后,即便文件内容还在,我们也没有办法把文件内容组合出来。
EXT3 文件系统是一种带日志功能的文件系统,Inode的变化会在日志文件.journal中有记录,.journal文件比较小,一般是32MB。当EXT3 文件系统中的metadata数据发生变化时,相应的metadata在.journal文件会有一份COPY。比如一个文件被删除了,它的Inode信息会在.journal文件中先保存一份,然后把要删除文件inode相关信息清零。这个.journal文件是循环使用的,当操作过多时,删除的文件的 inode日志记录会被新的数据替换,这就彻底丧失了根据inode找回数据的机会了。如果是大量文件的删除,这个.journal文件会被反复循环利用多次,只留给最后删除的那些文件的恢复机会。
数据恢复技术:
客户要恢复的是oracle数据库,oracle数据库文件被删除以后,只要是数据内容没有被覆盖,达思数据恢复技术可以把文件单独提取出来。
经过深入分析,在.journal文件没有找到删除过的oracle数据文件,原因是用户删除数据以后,系统还在开机运行,同时尝试启动过oracle实例,oracle产生一些日志文件,这些日志文件数量比较多,而要恢复的删除过的文件数量只有16个,在.journal文件中已经没有了删除文件的 inode信息。
恢复的思路有两条:
第一种:根据oracle数据文件内部结构,对全盘进行搜索,符合oracle数据页面的数据都提取出来,然后按照oracle数据文件的ID号进行重新组合。
第二种:根据oracle数据文件分布规律,精确定位oracle文件的数据指针地址,包括一级间接地址、二级间接地址和三级间接地址,重新构造出该文件的inode信息,然后把数据读取出来。
通过这两种恢复出来的数据效果都很好,最后oracle能正常启动。工程师把数据全部备份出来,最后发现有两个表数据少了一些记录,经查明,原因就是删除文件以后,一些日志文件的写入该分区,破坏了oracle数据文件的一些数据页面,幸好这两张表数据对用户来说不是很重要。
数据安全提醒:
在LINUX/UINX下误删除了文件,当发现数据丢失以后,最好不要进行任何操作,马上关机,保留现场。如果条件不允许关机,就要想办法把数据丢失的文件系统经过DD镜像到另外的存储空间上作为最原始的备份。
http://www.uplookingsh.com
- 5009 次点击
发表新评论