语言入口:简体中文 | English | 北亚博客
 
    
 
北亚Linux数据恢复

首席工程师:张宇

手机:18600440055

座机:4006-505-646-806

传真:4006-505-646-810

Email:zy@frombyte.com

地址:北京市海淀区永丰基地丰慧中路7号新材料创业大厦B座205室
QQ:免费咨询
当前位置:首页>>新闻中心>>公司新闻>>正文
新闻中心

北亚攻克LINUX EXT4误删除数据恢复

      EXT4是Linux kernel 自 2.6.28 开始正式支持的新的文件系统,目前已经广泛应用在新发行的LINUX版本中。移动终端方面,Android默认的系统分区也已经是EXT4了。随着LINUX系统的不断更新,相信EXT4将很快替代EXT3,成为下一代LINUX上的标准文件系统。

  相比EXT3,EXT4最大的改动是文件系统的空间分配模式。默认情况下,EXT4不再使用EXT3的block mapping分配方式 ,而改为Extent方式分配。从专业的数据恢复理论看,基于block mapping的EXT3在数据删除后就很难恢复,如果基于Extent,可参考的信息就更少,如果有效的恢复EXT4误删除的数据,是个公认的技术难题。

  近日,国内顶尖的北亚数据恢复中心对外宣称,已经完成了对EXT4数据误删除恢复的技术攻关,形成了一套完整的技术解决方案,并成功开发出了基于EXT4的专业数据恢复系统。

  北亚数据恢复中心的总工张宇向我们简单介绍了这套技术方案。

  1、关于EXT4的结构特征:

  EXT4在总体结构上与EXT3相似,大的分配方向都是基于相同大小的块组,每个块组内分配固定数量的INODE,可能的超级块(或备份),及可能的块组描述表。

  EXT4的INODE 结构做了重大改变,为增加新的信息,大小由EXT3的128字节增加到默认的256字节,同时块索引不再使用EXT3的12直接块+1个1次间接块+1个2次间接块+1个3次间接块的索引模式,而改为4个Extent片断流,每个片断流设定片断的起始块号及连续的块数量(有可能直接指向数据区,也有可能指向索引块区)。

  2、EXT4删除数据的结构更改:

  EXT4删除数据后,会依次释放文件系统bitmap空间位、更新目录结构、释放inode空间位。而INODE空间的释放不像WINDOWS NTFS或FAT一样保留数据的全部或部分索引,一个更彻底的操作是直接清除所有节点中的索引项。

  清除了文件的存储索引,意味着即使可以得到文件的名称、日期等元信息,也无法直接知道文件原来存储在什么位置,而基于Extent的存储方式更紧凑,删除之后,很难保证可以很容易还原原先的存储索引。

  3、北亚数据恢复中心的算法:

  为了重建删除文件的存储索引,需要从多个方向着手,综合分析整个文件系统的存储分配。

  A、分清已用空间及未用空间,在自由空间中对所有已知文件类型进行结构汇总,这类汇总包括特定的头结构,特定可串接的文件类型,形成按文件类型分配的虚拟存储表。

  B、在自由空间中对所有文件系统元信息进行结构汇总,结合已用空间的分配情况,通过模糊算法,得到原空间分配趋向参考。

  C、对日志、临时文件、目录结构的收缩表现进行汇总,得到数据删除时的趋向流程。

  汇总以上所有信息,虚拟化回溯删除前状态,测试分析结果正确性,如出错,做相应修正后逐步逼近删除前的存储分配。

  编者了解上述技术方案后,还是觉得很是抽象,于是临时构建了一套ext4的NAS系统,模拟运行了一翻,之后删除了部分数据,让北亚数据恢复中心以此为例进行演示。

  北亚数据恢复中心的田工首先对NAS进行了完整镜像,然后使用北亚自主开发的Frombyte Recovery for Ext4软件进行扫描,扫描过程可以清晰地看到如R-STUDIO一样的分配图。扫描完成后,软件花了几分钟的时间进行分析运算,得到了一个空间分配的规律图,先前删除的文件出现了几种供参考的分配参与方案。第一眼看上去就感觉默认的方案更符合空间整体分配趋势,依据此导出的文件也几乎全部正确、真正验证了算法的正确性。

  编者为这么神奇的恢复效果所震撼,问及Frombyte Recovery for Ext4何时对外提供,北亚数据恢复中心讲,目前软件已经在内测,还需加入授权算法,同时因多数应用环境均比编者的模拟环境复杂,所以,算法上也还有很多需改进或增加的地方,预计会在今年年底完善后推出,目前仅提供基于EXT4的数据恢复服务。

  北亚数据恢复中心多年来一直在潜力研究各种高难度的数据灾难恢复方法,领域涉及Windows、LINUX、UNIX及第三方嵌入式系统。在文件系统方面,成功攻克了如NTFS文件系统的碎片流恢复、LINUX 下删除文件的恢复、UNIX小型机文件系统灾难恢复等的世界级难题;在数据库领域,针对ORACLE、MS SQL Server、MYSQL、SYBASE等数据库修复,已经形成了一整套完善的解决方案。到最新的关于 ESX Server 的恢复研发,技术实力一直走在国内数据恢复界的最前沿。公司旗下的多款软件均各俱特色,涵盖了多项国际国内的唯一产品:

  FROMBYTE Explorer for ESX(全球唯一一款读取VMFS分区数据的软件产品,已发行,任何人均可免费注册及使用。 http://www.esxdata.com

  FROMBYTE Recovery for ESX(全球目前唯一一款恢复VMFS分区数据的软件产品,已发行 http://www.esxdata.com

  FROMBYTE Recovery for DV (已发行)

  FROMBYTE Recovery for DC (已发行)

  FROMBYTE Recovery for Sybase(全球目前唯一一款恢复Sybase数据库的软件产品,已发行)

  FROMBYTE Recovery for Mysql(全球目前唯一一款恢复Mysql数据库的软件产品,即将发行)

  FROMBYTE Recovery for SqlAnywhere(全球目前唯一一款恢复SqlAnywhere数据库的软件产品,即将发行)

  FROMBYTE Recovery for InterBase(全球目前唯一一款恢复InterBase数据库的软件产品,即将发行)

  FROMBYTE Recovery for SqlServer(产品即将发行)

  FROMBYTE Recovery for DHFS(全球目前唯一一款恢复大华监控录像全系列版本的软件产品,即将发行)

  北亚数据恢复中心软件官方:http://www.frombyte.cn

  北亚数据恢复中心总部地址:北京市海淀区中关村大街11号E世界A座832B

  北亚数据恢复中心公司网站: http://www.datahf.net

  免费咨询电话:4006-505-646

上一篇:关注北亚数据恢复官方微信送好礼!
下一篇:北亚数据恢复中心荣获国家级高新技术企业证书
JFS文件系统简介
XFS文件系统简介
Reiserfs文件系统简介
EXT3文件系统简介
常见Linux文件系统简介
GRUB简介与配置
LILO的使用和配置
Linux单用户模式维护系统
引导加载程序简介
重置Linux用户口令
  版权所有@北京北亚宸星科技有限公司   京ICP备09039053号    
  总部电话:(010)82488636  中国·北京·海淀区永丰基地丰慧中路7号新材料创业大厦B座205室              站点地图   联系我们  RSS阅读
isr