ZT:使用lsof恢復誤刪除的檔案
先介紹一些檔案的基本概念, 檔案實際上是一個指向inode的連結, inode連結包含了檔案的所有屬性, 比如許可權和所有者, 資料塊地址(檔案儲存在磁碟的這些資料塊中). 當你刪除(rm)一個檔案, 實際刪除了指向inode的連結, 並沒有刪除inode的內容. 程式可能還在使用. 只有當inode的所有連結完全移去, 然後這些資料塊將可以寫入新的資料.
proc檔案系統可以協助我們恢復資料. 每一個系統上的程式在/proc都有一個目錄和自己的名字: 裡面包含了一個fd(檔案描述符)子目錄(程式需要開啟檔案的所有連結). 如果從檔案系統中刪除一個檔案, 此處還有一個inode的引用:
/proc/程式號/fd/檔案描述符
接下來, 你需要知道開啟檔案的程式號(pid)和檔案描述符(fd). 這些都可以透過lsof工具方便獲得, lsof的意思是”list open files, 列出(程式)開啟的檔案”. 然後你將可以從/proc複製出需要恢復的資料.
下面介紹在Fedora Core 5系統上使用lsof恢復誤刪的檔案:
環境
主機: 使用微睦獨立主機, 一臺基於vmware的虛擬獨立主機.
系統: Fedora Core 5
核心: 2.6.16-1.2122_FC5
lsof版本:
[zhaoke@fedora5 ~]$ /usr/sbin/lsof -v
lsof version information:
revision: 4.77
預備工作:
如果你的系統沒有安裝lsof, 可以從作者網站或pbone獲得.
恢復過程:
首先, 我們需要建立一個文字檔案, 刪除然後恢復:
[zhaoke@fedora5 ~]$ man lsof | col -b > myfile
然後看一下檔案內容:
[zhaoke@fedora5 ~]$ less myfile
你可以看到lsof所有的文字幫助資訊.
現在按Ctrl-Z退出less命令, 然後在shell提示符下檢視檔案屬性資訊:
[zhaoke@fedora5 ~]$ stat myfile
File: `myfile’
Size: 116549 Blocks: 240 IO Block: 4096 regular file
Device: fd00h/64768d Inode: 492686 Links: 1
Access: (0664/-rw-rw-r–) Uid: ( 505/ zhaoke) Gid: ( 505/ zhaoke)
Access: 2006-11-20 12:59:38.000000000 +0800
Modify: 2006-11-20 12:59:34.000000000 +0800
Change: 2006-11-20 12:59:34.000000000 +0800
沒問題, 繼續下面工作:
[zhaoke@fedora5 ~]$ rm myfile
[zhaoke@fedora5 ~]$ ls -l myfile
ls: myfile: No such file or directory
[zhaoke@fedora5 ~]$ stat myfile
stat: cannot stat `myfile’: No such file or directory
myfile檔案刪除了.
這時候, 你不要終止仍在使用檔案的程式. 因為一旦終止, 檔案將很難恢復.
現在我們開始找回資料, 首先用lsof檢視一下:
[zhaoke@fedora5 ~]$ lsof | grep myfile
less 9104 zhaoke 4r REG 253,0 116549 492686 /home/zhaoke/myfile (deleted)
第一個縱行是程式的名稱(命令名), 第二縱行是程式號(PID), 第四縱行是檔案描述符(r意思是普通檔案), 現在你知道9104程式仍有開啟檔案, 檔案描述符是4. 那我們開始從/proc裡面複製出資料. 你可能會考慮使用cp -a, 但實際上沒有作用, 你將複製的是一個指向被刪除檔案的符號連結:
[zhaoke@fedora5 ~]$ ls -l /proc/9104/fd/4
lr-x—— 1 zhaoke zhaoke 64 Nov 20 13:00 /proc/9104/fd/4 -> /home/zhaoke/myfile (deleted)
[zhaoke@fedora5 ~]$ cp -a /proc/9104/fd/4 myfile.wrong
[zhaoke@fedora5 ~]$ ls -l myfile.wrong
lrwxrwxrwx 1 zhaoke zhaoke 29 Nov 20 13:02 myfile.wrong -> /home/zhaoke/myfile (deleted)
[zhaoke@fedora5 ~]$ file myfile.wrong
myfile.wrong: broken symbolic link to `/home/zhaoke/myfile (deleted)’
[zhaoke@fedora5 ~]$ file /proc/9104/fd/4
/proc/9104/fd/4: broken symbolic link to `/home/zhaoke/myfile (deleted)’
然後, 使用cp複製出資料:
[zhaoke@fedora5 ~]$ cp /proc/9104/fd/4 myfile.saved
最後, 確認一下檔案:
[zhaoke@fedora5 ~]$ ls -l myfile.saved
-rw-rw-r– 1 zhaoke zhaoke 116549 Nov 20 13:03 myfile.saved
[zhaoke@fedora5 ~]$ man lsof | col -b > myfile.new
[zhaoke@fedora5 ~]$ cmp myfile.saved myfile.new
proc檔案系統可以協助我們恢復資料. 每一個系統上的程式在/proc都有一個目錄和自己的名字: 裡面包含了一個fd(檔案描述符)子目錄(程式需要開啟檔案的所有連結). 如果從檔案系統中刪除一個檔案, 此處還有一個inode的引用:
/proc/程式號/fd/檔案描述符
接下來, 你需要知道開啟檔案的程式號(pid)和檔案描述符(fd). 這些都可以透過lsof工具方便獲得, lsof的意思是”list open files, 列出(程式)開啟的檔案”. 然後你將可以從/proc複製出需要恢復的資料.
下面介紹在Fedora Core 5系統上使用lsof恢復誤刪的檔案:
環境
主機: 使用微睦獨立主機, 一臺基於vmware的虛擬獨立主機.
系統: Fedora Core 5
核心: 2.6.16-1.2122_FC5
lsof版本:
[zhaoke@fedora5 ~]$ /usr/sbin/lsof -v
lsof version information:
revision: 4.77
預備工作:
如果你的系統沒有安裝lsof, 可以從作者網站或pbone獲得.
恢復過程:
首先, 我們需要建立一個文字檔案, 刪除然後恢復:
[zhaoke@fedora5 ~]$ man lsof | col -b > myfile
然後看一下檔案內容:
[zhaoke@fedora5 ~]$ less myfile
你可以看到lsof所有的文字幫助資訊.
現在按Ctrl-Z退出less命令, 然後在shell提示符下檢視檔案屬性資訊:
[zhaoke@fedora5 ~]$ stat myfile
File: `myfile’
Size: 116549 Blocks: 240 IO Block: 4096 regular file
Device: fd00h/64768d Inode: 492686 Links: 1
Access: (0664/-rw-rw-r–) Uid: ( 505/ zhaoke) Gid: ( 505/ zhaoke)
Access: 2006-11-20 12:59:38.000000000 +0800
Modify: 2006-11-20 12:59:34.000000000 +0800
Change: 2006-11-20 12:59:34.000000000 +0800
沒問題, 繼續下面工作:
[zhaoke@fedora5 ~]$ rm myfile
[zhaoke@fedora5 ~]$ ls -l myfile
ls: myfile: No such file or directory
[zhaoke@fedora5 ~]$ stat myfile
stat: cannot stat `myfile’: No such file or directory
myfile檔案刪除了.
這時候, 你不要終止仍在使用檔案的程式. 因為一旦終止, 檔案將很難恢復.
現在我們開始找回資料, 首先用lsof檢視一下:
[zhaoke@fedora5 ~]$ lsof | grep myfile
less 9104 zhaoke 4r REG 253,0 116549 492686 /home/zhaoke/myfile (deleted)
第一個縱行是程式的名稱(命令名), 第二縱行是程式號(PID), 第四縱行是檔案描述符(r意思是普通檔案), 現在你知道9104程式仍有開啟檔案, 檔案描述符是4. 那我們開始從/proc裡面複製出資料. 你可能會考慮使用cp -a, 但實際上沒有作用, 你將複製的是一個指向被刪除檔案的符號連結:
[zhaoke@fedora5 ~]$ ls -l /proc/9104/fd/4
lr-x—— 1 zhaoke zhaoke 64 Nov 20 13:00 /proc/9104/fd/4 -> /home/zhaoke/myfile (deleted)
[zhaoke@fedora5 ~]$ cp -a /proc/9104/fd/4 myfile.wrong
[zhaoke@fedora5 ~]$ ls -l myfile.wrong
lrwxrwxrwx 1 zhaoke zhaoke 29 Nov 20 13:02 myfile.wrong -> /home/zhaoke/myfile (deleted)
[zhaoke@fedora5 ~]$ file myfile.wrong
myfile.wrong: broken symbolic link to `/home/zhaoke/myfile (deleted)’
[zhaoke@fedora5 ~]$ file /proc/9104/fd/4
/proc/9104/fd/4: broken symbolic link to `/home/zhaoke/myfile (deleted)’
然後, 使用cp複製出資料:
[zhaoke@fedora5 ~]$ cp /proc/9104/fd/4 myfile.saved
最後, 確認一下檔案:
[zhaoke@fedora5 ~]$ ls -l myfile.saved
-rw-rw-r– 1 zhaoke zhaoke 116549 Nov 20 13:03 myfile.saved
[zhaoke@fedora5 ~]$ man lsof | col -b > myfile.new
[zhaoke@fedora5 ~]$ cmp myfile.saved myfile.new
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/267265/viewspace-83111/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 使用lsof恢復誤刪除的檔案
- lsof恢復oracle誤刪除檔案Oracle
- lsof恢復誤刪的檔案
- solaris下使用lsof恢復刪除的檔案
- Linux下使用lsof恢復刪除的檔案Linux
- 使用檔案描述符恢復誤刪除的資料檔案
- Oracle恢復誤刪除的資料檔案Oracle
- 恢復刪除的檔案
- 刪除檔案的恢復
- Git恢復刪除的檔案Git
- 如何使用 testdisk 恢復已刪除的檔案
- Oracle資料恢復 - Linux / Unix 誤刪除的檔案恢復(轉)Oracle資料恢復Linux
- 行動硬碟刪除的檔案能恢復嗎,怎樣恢復刪除的檔案硬碟
- linux下恢復誤刪除的資料檔案Linux
- 誤刪除資料檔案、控制檔案的非RMAN恢復方法
- 怎樣恢復回收站已刪除檔案,檔案刪除恢復教程
- Linux下面誤刪除檔案使用extundelete工具恢復介紹Linuxdelete
- 行動硬碟刪除的檔案能恢復嗎,怎麼恢復硬碟刪除的檔案硬碟
- linux下恢復誤刪除oracle的資料檔案LinuxOracle
- eclipse 恢復誤刪檔案Eclipse
- sd卡刪除的檔案如何恢復SD卡
- Shift + Delete刪除的檔案如何恢復?delete
- 一個恢復刪除檔案的工具
- eclipse中恢復刪除的檔案Eclipse
- linux中誤刪除oracle資料檔案的恢復操作LinuxOracle
- 如何有效恢復誤刪的HDFS檔案
- 被誤刪的檔案快速恢復方法
- git恢復誤刪未提交的檔案Git
- linux系統下檔案誤刪除該如何恢復?Linux
- 電腦刪除檔案恢復技巧
- Redo log檔案被刪除恢復
- Linuxt恢復誤刪內容:命令lsof、extundelete工具Linuxdelete
- linux中誤刪除oracle資料檔案的恢復操作(轉)LinuxOracle
- linux/uninx恢復刪除的檔案<轉>Linux
- 360粉碎檔案可以恢復嗎,如何恢復360強力刪除的檔案
- 如何恢復誤刪的安卓手機檔案安卓
- MySQL誤刪物理檔案的恢復(Linux)MySqlLinux
- Linux教程-使用mc恢復被刪除檔案(轉)Linux