Linux檔案系統的反刪除方法簡介(轉)

gugu99發表於2007-08-10
Linux檔案系統的反刪除方法簡介(轉)[@more@]

  作為一個多使用者、多工的作業系統,Linux下的檔案一旦被刪除,是難以恢復的。儘管刪除命令只是在文件節點中作刪除標記,並不真正清除檔案內容,但是其它使用者和一些有寫盤動作的程式會很快覆蓋這些資料。不過,對於家庭單機使用的Linux,或者誤刪檔後及時補救,還是可以恢復的。

  1.Ext2檔案系統結構的簡單介紹

  在Linux所用的Ext2檔案系統中,檔案是以塊為單位儲存的,預設情況下每個塊的大小是1K,不同的塊以塊號區分。每個檔還有一個節點,節點中包含有檔所有者,讀寫許可權,檔案型別等資訊。對於一個小於12個塊的檔,在節點中直接儲存檔資料塊的塊號。如果檔大於12個塊,那麼節點在12個塊號之後儲存一個間接塊的塊號,在這個間接塊號所對應的塊中,儲存有256個檔資料塊的塊號(Ext2fs中每個塊號佔用4位元組,這樣一個塊中所能儲存的塊號就是1024/4=256)。如果有更大的檔,那麼還會在節點中出現二級間接塊和三級間接塊。

  2。恢復被誤刪檔的方法

  大多數Linux發行版都提供一個debugfs工具,可以用來對Ext2檔案系統進行編輯操作。不過在使用這個工具之前,還有一些工作要做。

  首先以只讀方式重新掛載被誤刪的檔所在分割槽。使用如下命令:(假設檔案在/usr分割槽)

  mount –r –n –o remount /usr

  -r表示只讀方式掛載;-n表示不寫入/etc/mtab,如果是恢復/etc上的檔,就加上這個引數。如果系統說xxx partion busy,可以用fuser命令檢視一下是哪些程式使用這個分割槽上的?:

  fuser –v –m /usr

  如果沒有什麼重要的程式,用以下命令停掉它們:

  fuser -k –v –m /usr

  然後就可以重新掛載這些檔案系統了。

  如果是把所有的檔統一安裝在一個大的/分割槽當中,可以在boot提示符下用linux single進入單使用者模式,儘量減少系統程式向硬碟寫入資料的機會,要不乾脆把硬碟掛在別的機器上。另外,恢復出來的資料不要寫到/上面,避免破壞那些有用的資料。如果機器上有dos/windows,可以寫到這些分割槽上面:

  mount –r –n /dev/hda1 /mnt/had

  然後就可以執行debugfs:(假設Linux在 /dev/hda5)

  #debugfs /dev/hda5

  就會出現debugfs提示符debugfs:

  使用lsdel命令可以列出很多被刪除的檔案的資訊:

  debugfs:lsdel

debugfs: 2692 deleted inodes found.

Inode Owner Mode Size Blocks Time deleted

164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001

…………………………………………………………………………………

36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001

196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001

debugfs:

  列出的檔有很多(這裡找到2692個),第一欄位是檔節點號,第二欄位是檔所有者,第三欄位是讀寫許可權,接下來是檔大小,佔用塊數,刪除時間。然後就可以根據檔大小和刪除日期判斷那些是我們需要的。比如我們要恢復節點是

  196829的檔案:

  可以先看看檔案資料狀態:

  debugfs:stat <196829>

Inode: 196829 Type: regular Mode: 0644 Flags: 0x0 Version: 1

User: 0 Group: 0 Size: 149500

File ACL: 0 Directory ACL: 0

Links: 0 Blockcount: 38

Fragment: Address: 0 Number: 0 Size: 0

ctime: 0x31a9a574 -- Mon May 27 13:52:04 2001

atime: 0x31a21dd1 -- Tue May 21 20:47:29 2001

mtime: 0x313bf4d7 -- Tue Mar 5 08:01:27 2001

dtime: 0x31a9a574 -- Mon May 27 13:52:04 2001

BLOCKS:

594810 594811 594814 594815 594816 594817

………………………………….

TOTAL: 38

  然後就可以用dump指令恢復檔案:

  debugfs:dump <196829> /mnt/hda/01.sav

  這樣就把檔恢復出來了。退出debugfs:

  debugfs:quit

  另一種方法是手工編輯inode:

  debugfs:mi <196829>

Mode [0100644]

User ID [0]

Group ID [0]

Size [149500]

Creation time [0x31a9a574]

Modification time [0x31a9a574]

Access time [0x31a21dd1]

Deletion time [0x31a9a574] 0

Link count [0] 1

Block count [38]

File flags [0x0]

Reserved1 [0]

File acl [0]

Directory acl [0]

Fragment address [0]

Fragment number [0]

Fragment size [0]

Direct Block #0 [594810]

…………………………….

Triple Indirect Block [0]

  使用mi指令後每次顯示一行資訊以供編輯,其它行可以直接按回車表示確認,把deletion time改成0(未刪除),Link count改成1。改好後退出debugfs:

  debugfs:quit

  然後用fsck檢查/dev/hda5

  fsck /dev/hda5

  程式會說找到丟失的資料塊,放在lost+found裡面。這個目錄裡的檔案就是我們要的東東。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-939874/,如需轉載,請註明出處,否則將追究法律責任。

相關文章