成都不眠夜IBM小型机: IBM AIX JFS2文件系统数据恢复案例
集体不眠夜 IBM AIX JFS2文件系统OA系统数据误删除
某日深夜,位于成都市某电信机房里,一群忙碌的技术工程师连续工作了两天一夜,但大家都丝毫没有困意,依然紧紧张张的盯着这台IBM小型机的屏幕,自打上周六IBM AIX小型机上的数据被误删除以后,信息中心的上上下下几十个人都异常紧张,不但请来了IBM 公司的系统级资深专家,还找来了几位数据安全的高手前来帮忙想办法。不过,事情并没有按照预想的方向发展,AIX数据恢复没有任何进展。
已经两天两夜没有睡觉的信息中心张主任召集大家商议,最终决定寻求数据恢复公司的帮助。中午,成都本地的两家数据恢复中心的工程师抵达现场了解情况,面对IBM AIX系统,基本上无从下手,很快就给出无法进行数据恢复的结论。张主任认为,IBM AIX系统的小型机是属于企业级高端存储设备,在成都本地找到真正的专家肯定很难,一定要把目光面向全国。张主任与上级公司的领导进行沟通后,有北京、上海、广州的三家数据恢复公司进入了张主任的视线。工程师把现场情况写成技术文档,分别发给这三家公司,并要求在2小时内给出IBM AIX数据恢复的详细解决方案。方案要求一定要确保数据的安全性和数据恢复的成功率。
最终,北京达思数据恢复中心解决方案的可行性得到了信息中心全体的肯定,张主任表示,从达思数据恢复给出的解决方案可以看出他们在IBM AIX数据恢复方面有着丰富的经验和技术积累。
达思数据恢复专家出手 IBM AIX JFS2数据恢复技术
双方迅速的签订了数据恢复委托合同,达思数据恢复专家登上了飞往成都的班机。
由于空中管制飞机晚点,凌晨两点,达思数据恢复专家到了成都双流机场,信息中心的小潘已经在机场等了3个多小时了,大家赶紧驱车赶往机房。
在机房会议室,达思数据恢复专家详细了解了数据丢失的过程以及之后所作的操作,然后立即投入到数据恢复工作中。
运行环境:IBM小型机运行IBM LotusNotes/Domino办公系统。
误操作的详细过程: LotusNotes办公系统数据(Domino的.nsf文件)存放在存储阵列上,信息中心的工程师打算进行数据的整理及迁移,在Lotus Notes客户端上清除一些认为不重要的数据,当时没有发现异常,客户端并没有写入数据。周一,很多人上班了,大家习惯性的打开电脑,但是很多用户无法登录OA系统,信息中心的电话在短短10分钟内就被打爆了,信息中心马上乱成了一团,这才意识到周六加班时误把重要的数据库删除了!很快,惊动了集团公司的领导,这次数据丢失的影响相当严重。
达思数据恢复专家认为,本案例的架构是Lotus Notes运行多个单位的OA系统,即便有一个单位的OA出现问题,也不能停机,如果停机会影响别的OA的正常使用。在这种情况下,存储会有新的数据写入,增加了数据恢复的许多不确定因素,难度可见一斑。
达思数据恢复专家在签订数据恢复委托合同时,远程指导信息中心的工程师在不停机的情况下,把发生误删除的文件系统通过UNIX下的dd命令备份到另外一个存储上,这样能减少更多的新的数据写入到这个要恢复数据的文件系统,在以后的数据恢复操作中都在备份出来的文件进行处理。
达思数据恢复专家发现,来之前做的dd操作已经完成,是一个112GB的镜像文件。经过近10个小时的分析,到了中午,按照客户的要求把相关数据提取出来,经过客户验证,恢复出来的文件的确没错,但是数据记录只到6月份,没有7月份的数据。经过现场讨论,客户猜测数据可能在200GB大小的另外一个文件系统上,于是工程师对200GB的文件系统的镜像文件进行分析,果然在200GB的文件系统中找回了客户删除掉的文件。此时已经是22日深夜了。
达思数据恢复专家解析IBM AIX JFS2文件系统数据恢复技术
1、在UINX的文件系统中,所有的文件和目录都是由inode来描述,inode可以算得上文件和目录的灵魂。在JFS2文件系统中,inode大小通常占用512个字节,inode包含最重要的信息有:inode编号、文件或目录大小、文件属性(权限等信息)、四个时间(last dataaccessed、last status changed、last data modified、created)、数据指针、inode连接数等。
2、根据JFS2文件系统架构,一个文件系统的所有inode跟普通文件类似,根据需求分配空间,我们可以把某个文件系统的所有inode提取出来,保存成一个文件,根据需要对这个文件进行分析。
3、在JFS2文件系统中,当对文件或目录进行删除操作时,文件或目录名称都没有改变,文件的inode信息变化不是很大,通常只是对时间进行更新、把inode连接数更新为0(inode连接数是指有多少个文件在共用这个inode,一个inode可以供多个文件使用,但是一个文件只能对应一个inode),其他的信息一般不更改,其中最重要的是数据指针没有更改,这才有删除文件以后有重新恢复的可能。
微信号:woocs
长按识别二维码关注
专注数据恢复技术及电子取证技术
电话咨询:400-700-0017
投稿:woocs@qq.com