CentOS恢复Ext3下被删除的文件
发布时间:2023-04-12 12:57:32 所属栏目:教程 来源:
导读:下面是这个教程将教你如何在Ext3的文件系统中恢复被rm掉的文件。
假设我们有一个文件名叫 ‘test.txt’
注意:: “-il” 选项表示显示文件的i-node号(15),如果你不知道Unix/Linux文件系
假设我们有一个文件名叫 ‘test.txt’
注意:: “-il” 选项表示显示文件的i-node号(15),如果你不知道Unix/Linux文件系
|
下面是这个教程将教你如何在Ext3的文件系统中恢复被rm掉的文件。 假设我们有一个文件名叫 ‘test.txt’ 注意:: “-il” 选项表示显示文件的i-node号(15),如果你不知道Unix/Linux文件系统的“I结点”的话,你有必要先补充一下相关的知识。简单说来,i结点就是操作管理文件的一个标识号。 我们再看一下其内容: $ cat test.txt this is test file 好,现在我们开始删除文件:. $rm test.txt rm: remove write-protected regular file `test.txt’? y 使用 Journal 和 Inode 号恢复 注意,如果你删除文件后重启了系统,那么,相关的文件 journal 会丢失,我们也就无法恢复文件了。所以,恢复文件的前提是,Journal不能丢失,即,系统不能重启。 因为我们已经知道 test.txt 文件的 inode 号是15,所以我们可以使用 debugfs 命令来查看: debugfs: logdump -i <15> FS block 1006 logged at sequence 404351,journal block 7241 (inode block for inode 15): Inode: 15 Type: regular Mode: 0664 Flags: 0x0 Generation: 0 User: 0 Group: 0 Size: 20 File ACL: 0 Directory ACL: 0 Links: 1 Blockcount: 8 Fragment: Address: 0 Number: 0 Size: 0 ctime: 0x48159f2d — Mon Apr 28 15:25:57 2008 atime: 0x48159f27 — Mon Apr 28 15:25:51 2008 mtime: 0x4806f070 — Thu Apr 17 12:08:40 2008 Blocks: (0+1): 10234 No magic number at block 7247: end of journal. 请注意上面信息中的这一行: Blocks: (0+1): 10234 这就是inode 15存放文件的地址(数据块)。然后,我们知道了这个地址,我们就可以使用 dd 命令,把这个地址上的数据给取出来。 #dd if=/dev/sda5 of=/tmp/test.txt bs=4096 count=1 skip= 10234 1+0 records in 1+0 records out if 是输入的设备 of 是输出的设备. bs 指定一个block的大小 count 说明有多少个block需要dump skip 说明从开始的地方跳过 10234 个block,并从取下一个block的数据 下面让我们看一下被恢复的文件: $cat /tmp/test.txt this is test file 当然,上面的文件恢复是基于我们知道文件的inode,可在现实中,我们并不知道这个信息,如果我们不知道inode,我们还可能恢复吗?是的,这是可能的,让我们来看一下如何恢复。 使用 Journal 和 文件名恢复 如果我们不知道文件的inode我们可能恢复吗?我可以告诉你,这是不可能的事情。不过我们有办法知道文件的inode号。下面让我们来看看怎么做到: $rm mytest.txt rm: remove write-protected regular file `mytest.txt’? y 注意,我们并不知道其inode号,但我们可以使用 debugfs 命令来查看(使用其 ls -d 选项)。 debugfs: ls -d 2 (12) . 2 (12) .. 11 (20) lost+found 2347777 (20) oss <2121567> (20) mytest.txt 你看文件名了吧,它的inode号是 <2121567> ,注意,被删除了的文件的inode都是用尖括号包起来的。 即然知道了inode号,那么我们就很容易恢复了(使用 logdump选项): debugfs: logdump -i <2121567> Inode 2121567 is at group 65,block 2129985,offset 3840 Journal starts at block 1,transaction 405642 FS block 2129985 logged at sequence 405644,journal block 9 (inode block for inode 2121567): Inode: 2121567 Type: bad type Mode: 0000 Flags: 0x0 Generation: 0 User: 0 Group: 0 Size: 0 File ACL: 0 Directory ACL: 0 Links: 0 Blockcount: 0 Fragment: Address: 0 Number: 0 Size: 0 ctime: 0x00000000 — Thu Jan 1 05:30:00 1970 atime: 0x00000000 — Thu Jan 1 05:30:00 1970 mtime: 0x00000000 — Thu Jan 1 05:30:00 1970 Blocks: FS block 2129985 logged at sequence 405648,journal block 64 (inode block for inode 2121567): Inode: 2121567 Type: regular Mode: 0664 Flags: 0x0 Generation: 913772093 User: 100 Group: 0 Size: 31 File ACL: 2130943 Directory ACL: 0 Links: 1 Blockcount: 16 Fragment: Address: 0 Number: 0 Size: 0 ctime: 0x4821d5d0 — Wed May 7 21:46:16 2008 atime: 0x4821d8be — Wed May 7 21:58:46 2008 mtime: 0x4821d5d0 — Wed May 7 21:46:16 2008 Blocks: (0+1): 2142216 上面有很多信息,让我们仔细地查看,你可以看到下面一行信息: FS block 2129985 logged at sequence 405644,journal block 9 并且,其类型是: Type: bad type 再仔细看一下文件的时间戳下面的Blocks:什么也没有。那么,让我们看一下下一个block: FS block 2129985 logged at sequence 405648,journal block 64 (inode block for inode 2121567): 这一条Journal就有block信息了: Blocks: (0+1): 2142216 这就是被删除文件的地址,让我们再次运行恢复命令: $sudo dd if=/dev/sda5 of=/home/hchen/mytest_recovered.txt bs=4096 skip=2142216 count=1 再让我们来检查一下文件内容: $ cat mytest_recovered.txt this is my test file 小结 好了,下面是我们的一些总结: 1)使用 debugfs: ls -d 找到被删除文件的inode号。 2)使用 debugfs:logdump找到文件的数据块地址。 3)使用dd 命令把数据取出来存成文件。 网上有很其它不同的方法来恢复文件,基本上也是使用debugfs这个命令,有的还使用到了lsdel,其实大同小异,这个教程是我在网上看到的,虽然他说只是针对Ext3文件系统的,但我总感觉应该可以用于Ext2文件系统,不过我没有试过。也许Ext2和Ext3被debugfs输出的信息不一样吧。大家可以去试试。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
