Skip to content

Linux系统 FSCK后系统无法MOUNT成功案例

   来源:华军科技数据恢复

基本信息
客户姓名 某公司
送修日期
恢复用时 10小时小时
故障描述 PowerEdge R710.磁盘系统为SAS 1T*3组成的RAID5。LINUX系统,FSCK后系统无法MOUNT。 经查,RAID5完好,FSCK后SUPERBLOCK及第1个块组中的位图、描述均被垃圾日志填充,第1个块组内的根目录也被垃圾日志填充。直观上无法知道文件系统的所有信息。
检查恢复 工程师根据现存的文件系统节点及残留的日志区,还原出原来的SUPERBLOCK;根据SUPERBLOCK分析,得出文件系统为EXT3,其原日志节点为8。根据磁盘结构分析出日志节点的起始位置(日志信息的SUPERBLOCK及类型0x04的日志页)得到其大小,反分析其INODE,得到,以此为据,得到根目录节点。转移到根目录区域,约逻辑地址500多LBA(通常在这个附近)已被垃圾日志填充;从日志中还原根目录记录。还原其他第一个块组内可能的INODE。进行文件系统结构化,已经可以在LINUX下MOUNT了,多数数据已经可以读取,但偏偏用户需要的重要数据多数出错,怀疑使用当中崩溃造成;按照EXT3的特点,进行索引跟入。发现多数不可读节点被填充日志垃圾。在日志文件中进行分析,如果可以回溯,直接生成好节点,拷贝进入;如果日志无参考,通过数据区结构进行分析。(此例所有目录区均完好)对恢复的数据进行验收。
部分截图
Back To Top
Search