linux恢復(fù)誤刪除文件-extundelete

經(jīng)過(guò)本人測(cè)試該工具支持ext3和ext4文件系統(tǒng)

當(dāng)發(fā)現(xiàn)某個(gè)分區(qū)的數(shù)據(jù)被誤刪除后驳规,要做的第一件事是立刻卸載被誤刪除文件所在的分區(qū),或者重新以只讀方式掛載此分區(qū)艾君。

這么做的原因其實(shí)很簡(jiǎn)單:刪除一個(gè)文件采够,就是將文件inode節(jié)點(diǎn)中的扇區(qū)指針清除,同時(shí)冰垄,釋放這些數(shù)據(jù)對(duì)應(yīng)的數(shù)據(jù)塊蹬癌,而真實(shí)的文件還存留在磁盤(pán)分區(qū)中。但是這些被刪除的文件不一定會(huì)一直存留在磁盤(pán)中虹茶,當(dāng)這些釋放的數(shù)據(jù)塊被操作系統(tǒng)重新分配時(shí)逝薪,那些被刪除的數(shù)據(jù)就會(huì)被覆蓋。因此蝴罪,在數(shù)據(jù)誤刪除后董济,馬上卸載文件所在分區(qū)可以降低數(shù)據(jù)塊中數(shù)據(jù)被覆蓋的風(fēng)險(xiǎn),進(jìn)而提高成功恢復(fù)數(shù)據(jù)的機(jī)率要门。

1. 創(chuàng)建文件系統(tǒng)

[root@zw_test_26_74 /]#? mkfs -t ext4 /dev/sdb3

2.查看文件系統(tǒng)類(lèi)型

[root@zw_test_26_74 /]# blkid /dev/sdb3? --查看文件系統(tǒng)類(lèi)型

/dev/sdb3: UUID="b786e8d1-e8ac-4681-ad3a-ff7a39c07146" TYPE="ext4"

也可以用下面方法查看

[root@zw_test_26_74 ~]# file -s /dev/sdb3

/dev/sdb3: Linux rev 1.0 ext4 filesystem data (extents) (huge files)

3.創(chuàng)建一個(gè)delete目錄虏肾,并掛載到剛創(chuàng)建的文件系統(tǒng)上,并創(chuàng)建文件欢搜,然后刪除文件

[root@zw_test_26_74 /]# mkdir delete

[root@zw_test_26_74 /]# mount /dev/sdb3 /delete

[root@zw_test_26_74 /]# cd /delete

[root@zw_test_26_74 delete]# ls

lost+found

[root@zw_test_26_74 delete]# vi zw.txt????? --添加一些內(nèi)容

[root@zw_test_26_74 delete]# rm -rf zw.txt

4.下載

extundelete 主頁(yè):http://extundelete.sourceforge.net/

下載地址:http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2?? --0.2.4版本

[root@zw_test_26_74 /]# wget ?http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

[root@zw_test_26_74 /]# tar -xvf extundelete-0.2.4.tar.bz2

[root@zw_test_26_74 extundelete-0.2.4]# cd /extundelete-0.2.4

[root@zw_test_26_74 extundelete-0.2.4]# ./configure --prefix=/usr/local/extundelete? && make && make install

Configuring extundelete 0.2.4

configure: error: Can't find ext2fs library

這是因?yàn)閑xtundelete依賴e2fsprogs封豪。

[root@zw_test_26_74 extundelete-0.2.4]# yum -y install e2fsprogs? e2fsprogs-devel

安裝e2fsprogs后再次configure 成功。

[root@zw_test_26_74 extundelete-0.2.4]# ./configure? --prefix=/usr/local/extundelete? && make && make install

Configuring extundelete 0.2.4

Writing generated files to disk

make -s all-recursive

Making all in src

Making install in src

/usr/bin/install -c 'extundelete' '/usr/local/bin/extundelete'

5.查看工具版本

[root@zw_test_26_74 /]# cd /usr/local/extundelete/bin

[root@zw_test_26_74 bin]# ./extundelete -v

extundelete version 0.2.4

libext2fs version 1.41.12

Processor is little endian.

6.卸載分區(qū)炒瘟,注意如果是/ 根目錄的刪了吹埠,把磁盤(pán)掛載到其他機(jī)器做恢復(fù)

[root@zw_test_26_74 ~] fuser -k /delete???????? <-- 結(jié)束使用某分區(qū)的進(jìn)程樹(shù)

[root@www ~]# umount /delete??????????????????? <-- 卸載分區(qū)

[root@zw_test_26_74 ~]#? umount /dev/sdb3

7.使用extundelete查看分區(qū)上存在的文件

extundelete --inode 2 /dev/sdb2

# --inode 為查找某i節(jié)點(diǎn)中的內(nèi)容,使用2則說(shuō)明為搜索疮装,如果需要進(jìn)入目錄搜索缘琅,只須要指定目錄I節(jié)點(diǎn)即可

[root@zw_test_26_74 bin]#? extundelete --inode 2 /dev/sdb3

WARNING: Extended attributes are not restored.

Loading filesystem metadata ... 26 groups loaded.

Contents of inode 2:

0000 | ed 41 00 00 00 04 00 00 01 7b c6 56 05 7b c6 56 | .A.......{.V.{.V

0010 | 05 7b c6 56 00 00 00 00 00 00 03 00 02 00 00 00 | .{.V............

0020 | 00 00 00 00 20 00 00 00 e3 10 00 00 00 00 00 00 | .... ...........

0030 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

0040 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

0050 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

0060 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

0070 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................

Inode is Allocated

Group: 0

File mode: 16877

Low 16 bits of Owner Uid: 0

Size in bytes: 1024

Access time: 1455848193

Creation time: 1455848197

Modification time: 1455848197

Deletion Time: 0

Low 16 bits of Group Id: 0

Links count: 3

Blocks count: 2

File flags: 0

File version (for NFS): 0

File ACL: 0

Directory ACL: 0

Fragment address: 0

Direct blocks: 4323, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0

Indirect block: 0

Double indirect block: 0

Triple indirect block: 0

File name?????????????????????????????????????? | Inode number | Deleted status

Directory block 4323:

.???????????????????????????????????????????????? 2

..??????????????????????????????????????????????? 2

lost+found??????????????????????????????????????? 11

zw.txt???????????????????????????????????????????14???????????? Deleted

.zw.txt.swp?????????????????????????????????????? 13???????????? Deleted

zw.txt~?????????????????????????????????????????? 12???????????? Deleted

上面標(biāo)記為deleted的,zw.txt 就是我誤刪的數(shù)據(jù)

8. 恢復(fù):

root@zw_test_26_74 bin]# extundelete --restore-all? /dev/sdb3

WARNING: Extended attributes are not restored.

Loading filesystem metadata ... 26 groups loaded.

Loading journal descriptors ... 47 descriptors loaded.

Writing output to directory RECOVERED_FILES/

Searching for recoverable inodes in directory / ...

1 recoverable inodes found.

Looking through the directory structure for deleted files ...

Restored inode 14 to file RECOVERED_FILES/zw.txt

0 recoverable inodes still lost.

[root@zw_test_26_74 bin]# ll

total 1164

-rwxr-xr-x 1 root root 1187047 Feb 19 10:10 extundelete

drwxr-xr-x 2 root root??? 4096 Feb 19 11:20 RECOVERED_FILES

[root@zw_test_26_74 bin]# cd RECOVERED_FILES/

[root@zw_test_26_74 RECOVERED_FILES]# ll

total 4

-rw-r--r-- 1 root root 150 Feb 19 11:20zw.txt

可以看到zw.txt 已經(jīng)恢復(fù)到RECOVERED_FILES 目錄下了。

9.擴(kuò)展命令:

--restore-inode 12????????????? # --restore-inode 按指定的I節(jié)點(diǎn)恢復(fù)

--restore-file zw.txt?????????? # --restore-file 按指定的文件名恢復(fù)

--extundelete --restore-all???? # --restore-all? 是全部恢復(fù) 斩个,默認(rèn)全將恢復(fù)出來(lái)的文件放在當(dāng)前路徑 RECOVERED_FILES/ 目錄下胯杭,文件名為 file.I節(jié)點(diǎn)號(hào)

注意: RECOVERED_FILES目錄生成在當(dāng)前執(zhí)行命令的目錄下面啦!

轉(zhuǎn)載于:https://blog.51cto.com/sf1314/2055026

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末受啥,一起剝皮案震驚了整個(gè)濱河市做个,隨后出現(xiàn)的幾起案子鸽心,更是在濱河造成了極大的恐慌,老刑警劉巖居暖,帶你破解...
    沈念sama閱讀 218,204評(píng)論 6 506
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件顽频,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡太闺,警方通過(guò)查閱死者的電腦和手機(jī)糯景,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,091評(píng)論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門(mén),熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)省骂,“玉大人蟀淮,你說(shuō)我怎么就攤上這事〕模” “怎么了怠惶?”我有些...
    開(kāi)封第一講書(shū)人閱讀 164,548評(píng)論 0 354
  • 道士緝兇錄:失蹤的賣(mài)姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)轧粟。 經(jīng)常有香客問(wèn)我策治,道長(zhǎng),這世上最難降的妖魔是什么兰吟? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,657評(píng)論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任通惫,我火速辦了婚禮,結(jié)果婚禮上混蔼,老公的妹妹穿的比我還像新娘履腋。我一直安慰自己,他們只是感情好惭嚣,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,689評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布府树。 她就那樣靜靜地躺著,像睡著了一般料按。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上卓箫,一...
    開(kāi)封第一講書(shū)人閱讀 51,554評(píng)論 1 305
  • 城市分裂傳說(shuō)
    那天载矿,我揣著相機(jī)與錄音,去河邊找鬼烹卒。 笑死闷盔,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的旅急。 我是一名探鬼主播逢勾,決...
    沈念sama閱讀 40,302評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼藐吮!你這毒婦竟也來(lái)了溺拱?” 一聲冷哼從身側(cè)響起逃贝,我...
    開(kāi)封第一講書(shū)人閱讀 39,216評(píng)論 0 276
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎迫摔,沒(méi)想到半個(gè)月后沐扳,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,661評(píng)論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡句占,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,851評(píng)論 3 336
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年沪摄,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片纱烘。...
    茶點(diǎn)故事閱讀 39,977評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡杨拐,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出擂啥,到底是詐尸還是另有隱情哄陶,我是刑警寧澤,帶...
    沈念sama閱讀 35,697評(píng)論 5 347
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布啤它,位于F島的核電站奕筐,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏变骡。R本人自食惡果不足惜离赫,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,306評(píng)論 3 330
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望塌碌。 院中可真熱鬧渊胸,春花似錦、人聲如沸台妆。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,898評(píng)論 0 22
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)接剩。三九已至切厘,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間懊缺,已是汗流浹背疫稿。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 33,019評(píng)論 1 270
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留鹃两,地道東北人遗座。 一個(gè)月前我還...
    沈念sama閱讀 48,138評(píng)論 3 370
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像俊扳,于是被迫代替她去往敵國(guó)和親途蒋。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,927評(píng)論 2 355