恢復ext4檔案系統被誤刪的檔案

大雄45發表於2019-12-19
導讀 本文件給出了恢復ext4檔案系統被誤刪的檔案的方法,需要使用的軟體是extundelete,這款軟體對ext4檔案系統的恢復成功率比較高,值得擁有!

恢復ext4檔案系統被誤刪的檔案恢復ext4檔案系統被誤刪的檔案

[root@localhost ~]# rm -Rf /   #執行不成功的!
rm: 在"/" 進行遞迴操作十分危險
rm: 使用 --no-preserve-root 選項跳過安全模式
[root@localhost ~]# rm -rf /*    #這個可以執行成功! 呵呵。。。
ext4檔案系統上刪除檔案,可以恢復: extundelete ,ext3恢復使用:ext3grep
windows恢復誤刪除的檔案:  final data v2.0 漢化版  和  easyrecovery

擴充套件:

Linux檔案系統由三部分組成:檔名,inode,block
windows也由這三部分組成。
a.txt          -->inode              --> block
檔名       存放檔案後設資料資訊       真正存放資料
檢視檔案檔名:
[root@localhost ~]# cp /etc/passwd a.txt
[root@localhost ~]# ls a.txt
a.txt
檢視inode號:
常識: 每個檔案,有一個inode號。
[root@localhost ~]# ls -i a.txt
440266 a.txt
檢視inode中的檔案屬性;  透過stat命令檢視inode中包含的內容
[root@localhost ~]# stat a.txt   #檢視inode資訊:
[root@localhost ~]# ls -l a.txt
-rw-r--r-- 1 root root 1720 Oct 25 10:21 a.txt
block塊:真正儲存資料的地方
邏輯刪除:假刪除
為什麼刪除比複製快?

恢復ext4檔案系統被誤刪的檔案恢復ext4檔案系統被誤刪的檔案

誤刪除檔案後,第一件事要做什麼?  你不心刪除把存了幾十年的大片刪除了!
要避免誤刪除的檔案內容被覆蓋,如何避免?

解除安裝需要恢復檔案的分割槽或者以只讀的方式掛載
例如:

mount -o remount,ro /mnt
實戰:恢復ext4檔案系統被誤刪的檔案

下載extundelete
   開源軟體釋出中心

extundelete-0.2.4.tar.bz2
連結:
提取碼:a5m7

準備測試分割槽:
[root@localhost ~]# ls /dev/sd*
/dev/sda  /dev/sda1  /dev/sda2  /dev/sdb
[root@localhost ~]# fdisk /dev/sdb
Device contains neither a valid DOS partition table, nor Sun, SGI or OSF disklabel
Building a new DOS disklabel with disk identifier 0x539f33b8.
Changes will remain in memory only, until you decide to write them.
After that, of course, the previous content won't be recoverable.
Warning: invalid flag 0x0000 of partition table 4 will be corrected by w(rite)
WARNING: DOS-compatible mode is deprecated. It's strongly recommended to
         switch off the mode (command 'c') and change display units to
         sectors (command 'u').
Command (m for help): p #檢視分割槽表資訊
Disk /dev/sdb: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x539f33b8
   Device Boot      Start         End      Blocks   Id  System
Command (m for help): n #建立一個新分割槽
Command action
   e   extended
   p   primary partition (1-4)
p #建立一個主分割槽
Partition number (1-4): 1
First cylinder (1-2610, default 1): 
Using default value 1
Last cylinder, +cylinders or +size{K,M,G} (1-2610, default 2610): +1G #指定分割槽大小
Command (m for help): p #檢視分割槽表資訊
Disk /dev/sdb: 21.5 GB, 21474836480 bytes
255 heads, 63 sectors/track, 2610 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x539f33b8
   Device Boot      Start         End      Blocks   Id  System
/dev/sdb1               1         132     1060258+  83  Linux
Command (m for help): w #儲存
The partition table has been altered!
Calling ioctl() to re-read partition table.
Syncing disks.
[root@localhost ~]# partx -a /dev/sdb1  #獲得新分割槽表
或者
[root@localhost ~]# reboot

擴充套件:
如果在根下刪除檔案了,想恢復,怎麼辦?
方法1: 立即斷電,然後把磁碟以只讀方式,掛載到另一個電腦中進行恢復。
方法2:把extundelete在虛擬機器上(虛擬機器系統要和伺服器版本一樣),提前安裝好後再複製到隨身碟中,把隨身碟插入伺服器,恢復時,恢復的檔案要儲存到隨身碟中,(不要讓恢復的資料寫到/下,那樣會覆蓋之前刪除的檔案)。

使用新的分割槽:
[root@localhost ~]# mkdir /tmp/sdb1 #建立掛載點
[root@localhost ~]# mkfs.ext4 /dev/sdb1 #把/dev/sdb1分割槽檔案系統格式化成ext4
[root@localhost ~]# mount /dev/sdb1 /tmp/sdb1 #把/dev/sdb1分割槽掛到/tmp/sdb1
[root@localhost ~]# df -h 
Filesystem                    Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup-lv_root   18G  1.3G   16G   8% /
tmpfs                         499M     0  499M   0% /dev/shm
/dev/sda1                     485M   33M  427M   8% /boot
/dev/sr0                      3.6G  3.6G     0 100% /media/cdrom
/dev/sdb1                    1020M   34M  935M   4% /tmp/sdb1
複製一些測試檔案,然後把這些檔案再刪除,然後演示恢復:
[root@localhost ~]# cp /etc/passwd /tmp/sdb1
[root@localhost ~]# cp /etc/hosts /tmp/sdb1 
[root@localhost ~]# echo aaa > a.txt
[root@localhost ~]# mkdir -p /tmp/sdb1/a/b/c
[root@localhost ~]# cp a.txt /tmp/sdb1/a
[root@localhost ~]# cp a.txt /tmp/sdb1/a/b
[root@localhost ~]# touch /tmp/sdb1/a/b/kong.txt
[root@localhost ~]# yum install -y tree
[root@localhost ~]# tree /tmp/sdb1
/tmp/sdb1
├── a
│   ├── a.txt
│   └── b
│       ├── a.txt
│       ├── c #空目錄
│       └── kong.txt #空檔案
├── hosts
├── lost+found
└── passwd
4 directories, 5 files
刪除檔案:
[root@localhost ~]# cd /tmp/sdb1
[root@localhost sdb1]# ls
a  hosts  lost+found  passwd
[root@localhost sdb1]# rm -rf a hosts passwd 
[root@localhost sdb1]# ls
lost+found

誤刪除檔案後,第一件事要做什麼???
如何避免誤刪除的檔案內容被覆蓋???
解除安裝需要恢復檔案的分割槽或者以只讀的方式掛載

[root@localhost sdb1]# cd /root
[root@localhost ~]# df -h
Filesystem                    Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup-lv_root   18G  1.3G   16G   8% /
tmpfs                         499M     0  499M   0% /dev/shm
/dev/sda1                     485M   33M  427M   8% /boot
/dev/sr0                      3.6G  3.6G     0 100% /media/cdrom
/dev/sdb1                    1020M   34M  935M   4% /tmp/sdb1
[root@localhost ~]# echo "/dev/sdb1 /tmp/sdb1 ext4 defaults 0 0" >> /etc/fstab 
[root@localhost ~]# mount -o remount,ro /tmp/sdb1 #以讀寫的形式重新掛載/tmp/sdb1所在分割槽
[root@localhost ~]# df -h
Filesystem                    Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup-lv_root   18G  1.3G   16G   8% /
tmpfs                         499M     0  499M   0% /dev/shm
/dev/sda1                     485M   33M  427M   8% /boot
/dev/sr0                      3.6G  3.6G     0 100% /media/cdrom
/dev/sdb1                    1020M   34M  935M   4% /tmp/sdb1
[root@localhost ~]# touch /tmp//sdb1/testfile
touch: cannot touch `/tmp//sdb1/testfile': Read-only file system

或者

[root@localhost ~]# umount /tmp/sdb1 #解除安裝/tmp/sdb1所在分割槽
[root@localhost ~]# df -h
Filesystem                    Size  Used Avail Use% Mounted on
/dev/mapper/VolGroup-lv_root   18G  1.3G   16G   8% /
tmpfs                         499M     0  499M   0% /dev/shm
/dev/sda1                     485M   33M  427M   8% /boot
/dev/sr0                      3.6G  3.6G     0 100% /media/cdrom
安裝extundelete工具 
上傳extundelete到Linux中:
從Windows上傳extundelete檔案到Linux,安裝SecureCRT或者XShell[root@localhost ~]# yum install -y lrzsz  
# 安裝後就有了rz命令和sz命令
rz: 將Windows中的檔案上傳到Linux
sz: 將Linux中的檔案下載到Windows
原始碼安裝extundelete
[root@localhost ~]# cd /usr/local/src
[root@localhost src]# ls
[root@localhost src]# rz
rz waiting to receive.
 zmodem trl+C ȡ
  100%     105 KB  105 KB/s 00:00:01       0 Errorsbz2...
[root@localhost src]# ls
extundelete-0.2.4.tar.bz2
[root@localhost src]# tar xjvf extundelete-0.2.4.tar.bz2 
[root@localhost src]# cd extundelete-0.2.4
[root@localhost extundelete-0.2.4]# yum install -y e2fsprogs-devel gcc*
[root@localhost extundelete-0.2.4]# ./configure   #檢查系統安裝環境
[root@localhost extundelete-0.2.4]# make  -j 4  #編譯,把原始碼編譯成可執行的二進位制檔案。 -j 4   使用4程式同時編譯,提升編譯速度或者使用4核CPU同時編譯。
[root@localhost extundelete-0.2.4]# make install  #編譯安裝

擴充套件:

install 和cp 有什麼區別? 
install 複製時可以指定許可權  cp不可以
例:
[root@localhost ~]# install -m 777 /bin/find /opt/a.sh
[root@localhost ~]# ll /opt/
開始恢復:

方法一:透過inode結點恢復
方法二:透過檔名恢復
方法三:恢復某個目錄,如目錄a下的所有檔案:
方法四:恢復所有的檔案

[root@localhost extundelete-0.2.4]# mkdir /test #建立一個目錄使用於存放恢復的資料
[root@localhost extundelete-0.2.4]# cd /test
[root@localhost test]# 
透過inode結點檢視被刪除的檔名字:
[root@localhost test]# extundelete /dev/sdb1 --inode 2  
File name                                       | Inode number | Deleted status
.                                                 2
..                                                2
lost+found                                        11
passwd                                            12             Deleted
hosts                                             13             Deleted
a                                                 7377           Deleted
擴充套件:ext4檔案系統的分割槽根目錄的inode值為2,xfs分割槽根目錄的inode值為64
[root@localhost test]# ls -id /boot/   #xfs檔案系統
64 /boot/
[root@localhost test]# ls -id /tmp/sdb1
2 /tmp/sdb1
方法一:透過inode結點恢復
[root@localhost test]# ls
[root@localhost test]# extundelete /dev/sdb1 --restore-inode 12
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 9 groups loaded.
Loading journal descriptors ... 61 descriptors loaded.
[root@localhost test]# ls
RECOVERED_FILES
[root@localhost test]# ls RECOVERED_FILES/
file.12
[root@localhost test]# diff /etc/passwd  RECOVERED_FILES/file.12 #對比檔案內容,沒有任何輸出,說明恢復後的檔案內容沒有變化
方法二:透過檔名恢復
[root@localhost test]# extundelete /dev/sdb1 --restore-file passwd
[root@localhost test]# diff /etc/passwd RECOVERED_FILES/passwd #對比檔案內容,沒有任何輸出,說明恢復後的檔案內容沒有變化
方法三:恢復某個目錄,如目錄a下的所有檔案:
[root@localhost test]# extundelete /dev/sdb1 --restore-directory a
[root@localhost test]#  tree RECOVERED_FILES/a/
RECOVERED_FILES/a/
├── a.txt
└── b
    └── a.txt
1 directory, 2 files
方法四:恢復所有的檔案
[root@localhost test]# rm -rf RECOVERED_FILES/*
[root@localhost test]# extundelete /dev/sdb1 --restore-all
[root@localhost test]# ls RECOVERED_FILES/
a  hosts  passwd
[root@localhost test]# tree  RECOVERED_FILES/
RECOVERED_FILES/
├── a
│   ├── a.txt
│   └── b
│       └── a.txt
├── hosts
└── passwd
2 directories, 4 files
資料對比
刪除前:
[root@localhost ~]# tree /tmp/sdb1
/tmp/sdb1
├── a
│   ├── a.txt
│   └── b
│       ├── a.txt
│       ├── c #空目錄
│       └── kong.txt #空檔案
├── hosts
├── lost+found
└── passwd
4 directories, 5 files
恢復後:
[root@localhost test]# tree  RECOVERED_FILES/
RECOVERED_FILES/
├── a
│   ├── a.txt
│   └── b
│       └── a.txt
├── hosts
└── passwd
2 directories, 4 files

extundelete在恢復檔案的時候能不能自動建立空檔案和目錄?
答:不能

本文原創地址:


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2669361/,如需轉載,請註明出處,否則將追究法律責任。

相關文章