關于Ext4文件系統的幾個概念：
塊組：Ext4文件系統的全部空間被劃分為若干個塊組，每個塊組結構基本上相同。
塊組描述符表：每個塊組都對應一個塊組描述符，這些塊組描述符統一放在文件系統的前部，稱為塊組描述符表。每個塊組描述符大小為32字節，主要描述塊位圖、i-節點位圖及i-節點表的地址等信息。
超級塊(Superblock)：用于存儲文件系統的配置參數（塊大小、總塊數、i-節點數等）和動態信息（當前空閑塊數和i-節點數）。Ext4文件系統的超級塊始于1024字節處，即2號扇區。
i節點：描述文件的時間、大小、塊指針等信息。
塊組描述符和超級塊在塊中的位置：當塊大小為2個扇區時，0號塊是引導程序或者保留塊，超級塊起始于1號塊。當塊大小為4個扇區時，引導程序或者保留塊位于0號塊的前兩個扇區，超級塊位于0號塊的后兩個扇區。當塊大小為8個扇區時，引導程序或者保留塊位于0號塊的0-1號扇區，超級塊位于0號塊的2-3號扇區。
Ext4文件系統結構和第一個塊組的結構：

北亞企安數據恢復—Ext4文件系統數據恢復

Ext4文件系統故障初檢和分析：
服務器上Ext4文件系統umount失敗，工作人員使用fsck命令檢查文件系統的一致性，結果導致Ext4文件系統mount不上（有時表現為目錄變為文件）。報錯提示信息：“mount: wrong fs type,bad option,bad superblock”。
日志和數據不一致導致文件系統數據被覆蓋的情況在Ext3和Ext4文件系統中出現頻繁，不過.journal日志文件留有緩沖數據，可以通過joumal日志文件找到相應信息并重建源文件。
安裝Linux操作系統的硬盤的第一個扇區是MBR扇區，通過查看MBR分區表得知本案例環境中有2個分區：交換分區+Ext4文件系統分區。數據恢復工程師計劃通過分析joumal日志文件來恢復丟失的數據。
本案例Ext4文件系統的相關信息：
1、塊大小為4KB，即8個扇區。
2、超級塊(Superblock)起始位置在1024字節處，即2號扇區，大小為2個扇區。
3、塊組描述表從第一個塊開始，即從4096字節處開始。

Ext4文件系統數據恢復過程：
1、用軟件將Ext4文件系統打開，可以看到0-23扇區的數據(包括超級塊和塊組描述符)被日志記錄覆蓋。Ext3、Ext4文件系統的日志頁以C0 3B 39 98開頭。

北亞企安數據恢復—Ext4文件系統數據恢復

2、超級塊中包含關于塊大小的信息。從.journal日志中將超級塊的備份查找出來，然后通過查找超級塊信息，其標志是“53ef”。
查找超級塊：

北亞企安數據恢復—Ext4文件系統數據恢復

通過超級塊查看塊大小。

北亞企安數據恢復—Ext4文件系統數據恢復

軟件模板編輯器也可以顯示塊大小。

北亞企安數據恢復—Ext4文件系統數據恢復

超級塊0x18-0x1B處描述塊大小，確定本案例塊大小為4KB。
3、重建(恢復)超級塊；由于原文件系統超級塊損壞，所以在恢復數據時要把這部分超級塊信息粘貼回去，即放在2號扇區開始，或1024字節處。上述操作完成后，超級塊備份某些地方與實際超級塊數值可能不一致，需要通過數據恢復工具的模板管理器修改。本案例對超級塊所在的塊組作了修改，它在第0個塊組里。

北亞企安數據恢復—Ext4文件系統數據恢復

4、重建(恢復)塊組描述表；由于部分塊組描述表被破壞，所以在.journal日志文件里找到所有的塊組描述表，并把它們粘貼回去。.journal日志文件里，塊組描述符表存儲在超級塊的后面，所以找塊組描述表之前可以先找到超級塊。找到塊組描述表后將塊組描述符表內容粘貼到4096字節處。
5、重建(恢復)目錄；恢復某個文件夾里的文件時，例如恢復kyproc文件夾里的數據，發現這些文件夾通過工具無法打開。

北亞企安數據恢復—Ext4文件系統數據恢復

很明顯這個目錄損壞了，打開其節點信息后發現正常數據被日志填充。

北亞企安數據恢復—Ext4文件系統數據恢復

找到上一級目錄，即var文件夾，右擊點“open”。打開var文件夾里的所有文件的目錄信息，找到kyproc目錄的信息，12 32 EE 00是其i-節點號，10 00表示其目錄項長度，06表示其文件名稱長度，02表示其文件類型為目錄。

北亞企安數據恢復—Ext4文件系統數據恢復

6、在var文件夾的目錄塊下查找kyproc目錄的位置，標紅的位置是找到的結果，該位置顯示所在塊號為62399108。

北亞企安數據恢復—Ext4文件系統數據恢復

7、根據所在塊號，就可以定位kyproc目錄相應節點的位置。由于人工補節點比較麻煩，可以打開.journal日志文件，從里面找到其節點信息，然后將相應的信息粘貼回去。通過上述方法可以重建(恢復)目錄。恢復目錄里的文件也是通過同樣的方法，從.journal日志文件里找到相應的文件的節點信息，找到后粘貼回原來的位置即可。

審核編輯 黃宇