1.运维基础(10)linux被删数据恢复方法
2.使用Linux文件恢复工具
3.Linux文件误删除恢复方法
运维基础(10)linux被删数据恢复方法
源代码托管网站sourceforge.net提供了一个名为extundelete的源译工具,用于Linux系统中被删除数据的码编恢复。extundelete具有多种参数和动作,源译帮助用户在不同场景下恢复丢失的码编数据。
在使用extundelete之前,源译首先需要安装必要的码编php支付宝wap源码软件包。通过命令行操作,源译依次执行#cd /usr/local/src,码编#yum install gcc-c++,源译#yum install e2fsprogs-devel e2fsprogs,码编#wget zy-res.oss-cn-hangzhou.aliyuncs.com,源译#tar -jxvpf extundelete-0.2.4.tar.bz2,码编#cd extundelete-0.2.4,源译#./configure ; make ; make install。码编这一步确保了extundelete的源译安装和配置。
在数据恢复阶段,首先需要确认文件系统挂载情况。以sdb1和sdb2作为示例,分别在mnt1和mnt2目录下存放了文件1.file和2.file。通过#cd /mnt1,执行#rm -rvf 1.file删除文件,然后#cd /#umount /mnt1确保磁盘挂载安全解除,避免数据丢失。执行#extundelete /dev/sdb1 --inode 2命令恢复特定inode编号的文件,确保恢复过程正确无误。
对于目录恢复,使用#extundelete /dev/sdb1 --restore-directory tmp命令,qqskey科技源码其中tmp是被删除目录的路径。通过恢复目录结构,用户可以迅速恢复丢失的数据组织。
extundelete的强大之处在于,它无需依赖特定的文件格式进行恢复。其工作流程包括:首先通过文件系统的inode信息(根目录inode通常为2)获取文件系统的文件信息,包括已存在和已删除文件的详细信息,如文件名和inode;然后利用inode信息结合日志查询文件所在的block位置,包括直接块、间接块等信息;最后,通过dd命令备份这些信息,完成数据恢复。
为了确保数据恢复的安全性,建议使用umount命令解除磁盘挂载。未解除挂载直接运行恢复命令可能导致数据丢失风险。在恢复操作后,通过#ls /mnt1/1.file命令验证文件恢复成功。
欢迎关注微信公众号厦门微思网络,获取更多专业IT认证培训信息,包括思科、华为、红帽、ORACLE、VMware、CISP、PMP等课程。短剧app源码通过往期回顾,了解运维基础系列内容,包括Nginx、实用工具篇、备份篇、流量监控工具篇、Ansible、CI / CD、Ansible Tower、shell脚本以及Linux性能调优三大系统。
使用Linux文件恢复工具
Linux 系统管理员守则中有这么一条:“慎用 rm -rf 命令,除非你知道此命令所带来的后果“,不过 Linux 下删除文件并不是真实的删除磁盘分区中的文件,而是将文件的 inode 节点中的扇区指针清除,同时释放这些数据对应的数据块,当释放的数据块被系统重新分配时,那些被删除的数据就会被覆盖,所以误删除数据后,应马上卸载文件所在的分区。然后使用相关工具进行恢复。本文以 Ubuntu . 平台为例介介绍四个(foremost、extundelete、testdisk 和 phtorec)常用的 Linux 删除文件恢复工具的使用方法。Linux 文件恢复的原理
inode 和 block
首先简单介绍一下 Linux 文件系统的最基本单元:inode。inode 译成中文就是索引节点,每个存储设备(例如硬盘)或存储设备的出源码plp分区被格式化为文件系统后,应该有两部份,一部份是 inode,另一部份是 block,block 是用来存储数据用的。而 inode 呢,就是用来存储这些数据的信息,这些信息包括文件大小、属主、归属的用户组、读写权限等。inode 为每个文件进行信息索引,所以就有了 inode 的数值。linux 操作系统下可以使用 ls –id 命令来查看文件或者目录的 inode 值,一般”root”目录的 inode 值为 2,一个分区挂载到一个目录下时,这个”root”目录的 inode 值为 2
1
2
3
# mount /dev/sdb2 /tmp
# ls -id /tmp
2 /tmp
文件恢复的原理
本文要介绍的命令是通过文件系统的 inode 值(一般是 2 )来获取文件系统信息。在 ext3 和 ext4 文件系统中,每个文件都是通过 inode 来描述其数据存放的具体位置,当文件被删除以后,inode 的数据指针部分被清零,文件目录区没有太多变化。文件的读写都是通过 inode 来实现,当 inode 数据指针被清零以后,即便文件内容还在,也没有办法把文件内容组合出来。当 ext3 和 ext4 文件系统中的元数据 metadata 发生变化时,相应的消防主机源码元数据 metadata 在日志文件会有一份拷贝。比如一个文件被删除了,它的 inode 信息会在日志文件中先保存一份,然后把要删除文件 inode 相关信息清零。这个日志文件是循环使用的,当操作过多时,删除的文件的 inode 日志记录会被新的数据替换,这就彻底丧失了根据 inode 找回数据的机会了。如果是大量文件的删除,这个日志文件会被反复循环利用多次,只留给最后删除的那些文件的恢复机会。
使用命令行工具恢复文件
foremost 和 extundelete 简介
formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。这个过程通常叫做数据挖掘(data carvubg)。formost 可以分析由 dd、Safeback、Encase 等生成的镜像文件,也可以直接分析驱动器。文件头和尾可以通过配置文件设置,也可以通过命令行开关使用 formost 内建的文件类型。formost 最初是由美国空军特别调查室(Air Force Office of Special Investigations)和信息系统安全研究中心(The Center for Information Systems Security Studies and Research)开发的,现在使用 GPL 许可。Foremost 支持恢复如下格式:avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。
针对 Linux 下的 ext 文件系统来说,常用的 Linux 文件删除恢复工具有 debugfs、ext3grep、extundelete 等。extundelete 是一个开源的数据恢复工具,支持 ext3、ext4 文件系统,其官方站点位于/Scalpel/ 下载源代码编译安装。下面看看使用方法:
使用 scalpel 工具之前,首先要修改配置文件: /etc/scalpel/scalpel.conf。
例如用户要恢复所有删除 pdf 文件,那么要在/etc/scalpel/scalpel.conf 把包括 pdf 文件格式的两行之前的# 去掉。
[...]
pdf y %PDF %EOFx0d REVERSE
pdf y %PDF %EOF REVERSE
[...]
然后保存文件。
下面看看使用方法
# scalpel /dev/sdb1 -o /RECOVERY/
其中/dev/sdb1 是目标驱动器,/RECOVERY/ 是恢复文件存储目录。目录下的 audit.txt 文件是恢复文件列表。
使用字符终端工具 testdisk 和 phtorec
testdisk 简介
testdisk 是分区表恢复、raid 恢复、分区恢复的开源免费工具(testdisk 支持如下文件系统: FAT/FAT/FAT/NTFS/ext2/ext3/ext4)。testdisk 支持的功能: 修复分区表, 恢复已删除分区,用 FAT 备份表恢复启动扇区,重建 FAT/FAT/FAT 启动扇区,修复 FAT 表,重建 NTFS 启动扇区,用备份表恢复 NTFS 启动扇区,用 mft 镜像表(mft mirror)修复 mft 表,查找 ext2/ext3 备份的 superblock,从 FAT,NTFS 及 ext2 文件系统恢复删除文件,从已删除的 FAT,NTFS 及 ext2/ext3 分区复制文件。
使用方法
首先安装
#apt-get install testdisk
其它 Linux 发行版用户可以在http://www.cgsecurity.org/wiki/TestDisk_Download 下载源代码编译安装。下载安装 testdisk 之前要安装几个软件包 libjpeg8 ,libncursesw5, libuuid1, zlib1g 。下面看看使用方法
启动 testdisk
#testdisk
testdisk 启动后的工作界面首先是选择恢复操作中的 log 文件(testdisk.log)的纪录方式见图 1。
图 1.选择恢复操作中的 log 文件的纪录方式
[Create]新建
[Append]追加
[No Log]不纪录
选择了 log 文件的记录方式后、系统显示处于连接状态的磁盘设备见图 2。
图 2.处于连接状态的磁盘设备
在列出的磁盘设备中,选择要恢复的分区,然后选择磁盘分区的种类。若是 ext4 文件系统的话,请选择 [None ] Non partitioned media 见图 3
图 3.选择 [None ] Non partitioned media
说明:一般选择[Intel] Intel/PC partition(如果是 GPT 分区,请选择 EFI GPT),对于 ext4 文件系统选择 [Intel] Intel/PC partition 也能正确识别,只是分析硬盘时比较慢。
下面的画面中选择[Analyse],对分区进行分析见图 4。
图 4.对分区进行分析
下面显示了当前分区的状态。这是软件分析的当前分区表的分区结果,我们选择“Deep Search”进行一次深入检测见图 5。
图 5.选择“Deep Search”进行一次深入检测
下面是检测完成界面见图 6
图 6.检测完成界面
在这个画面时,按 P 键就可以列出硬盘上的文件见图 7
图 7.红色的文件名称就是已经被删除的文件
红色的文件名称就是已经被删除的文件,选择好你要恢复的文件后,按 c 键之后,它就会问你要复制到哪个目录,这时请选择你要 复制的目地地(destination)即可。
photorec 简介
photorec 是一款用于恢复硬盘、光盘中丢失的视频、文档、压缩包等文件,或从数码相机存储卡中恢复丢失的数据恢复软件(因此,该软件命名为 photo recovery 这个名字)。 photorec 忽略文件系统,能直接从介质底层恢复数据,因此,在介质的文件系统严重破坏或被重新格式化后,它也能进行数据恢复。出于安全考虑, photorec 以只读方式来访问您要恢复数据所在的磁盘或存储卡介质。提示: 一旦发现丢失或意外删除了某个、文件, 请不要继续往该存储设备或磁盘保存新文件;否则您可能会覆盖原来的数据。 这意味着您在使用 photorec 时,您千万不要将恢复的文件写入到原数据所存储的同一分区。
使用 photorec 恢复文件
photorec 是 testdisk 的伴侣程序,安装 testdisk 后 photorec 就可以使用了。
启动 photorec
# photorec
图 8 中显示了已连接磁盘设备,准备恢复的文件在那个设备上就选择它,然后在选择 Proceed 按钮继续下一步。
图 8.已连接磁盘设备
接下来,选择恢复的磁盘分区格式。这里选择 ext4 见图 9。
图 9.选择恢复的磁盘分区格式
画面下方[File Opt]中有可供恢复的文件种类提供被选择见图 。
图 .可供恢复的文件种类
说明:如果只是 root 据某些文件签名要恢复部分文件类型,那么可以按 s 取消全部勾选,然后移动光标到要恢复的文件类型,可按空格来选择高亮选中的类型。
下面设定要分析的磁盘空间区域,可整个分区搜索,也可只搜索自由空间(相当于未分配簇)见图 。
图 .设定要分析的磁盘空间区域
下面选择分区所使用的文件系统类型,然后设定导出的文件目录,一般输入 Y 并回车即可。图 是恢复完成界面。
图 .恢复完成
恢复完了选择 Quit 退出 PhtoRec。被恢复的文件是 recup_dir.x 的若干数字子组合为文件名被保存在当前目录的/recup_dir 子目录下的。
功能对比
表 1 是 Linux 删除文件恢复工具
表 1.Linux 删除文件恢复工具
工具名称/功能对比 工作界面 功能简介 foremost 命令行 formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具 extundelete 命令行 Extundelete 是 ext3、ext4 文件系统的恢复工具 scalpel 命令行 scalpel 是一种快速文件恢复工具,它通过读取文件系统的数据库来恢复文件。它是独立于文件系统的 testdisk 字符终端 Testdisk 支持分区表恢复、raid 恢复、分区恢复 phtorec 字符终端 photorec 用来恢复硬盘、光盘中丢失的视频、文档、压缩包等文件,或从数码相机存储卡中恢复丢失的总结
可以使用 testdisk 进行文件恢复的场合,也就是硬盘上的分区(该分区有原有数据纪录)已经损坏的情形。但是如果损坏之后,重新再次做成了新分区的话,文件恢复的可能性比较小,很困难。photorec 不仅针对 硬盘、USB 设备、CD-ROM、SD 卡,而且还可以对其它存储设备进行应用。因此大多数常用的文件如果被误操作的话,均可利用其来进行恢复,只不过它的初衷是针对照片而制作的
Linux文件误删除恢复方法
linux系统中操作重要文件,备份是最重要的但是有时候误删除文件,要怎么恢复呢?
下面可以试试
当前系统只有一个用户在登录,对文件进行了误删除操作,那么,这个时候该如何进行操作? 注意事项及解决思路: 停止对当前分区做任何操作 通过DD命令进行对当前分区进行备份,防止通过第三方软件恢复失败,造成数据的丢失 dd if=/path/file of=/dev/sdb1 通过umount命令将当前设备分区进行卸载 Umount /dev/sda 或者umount /挂载点mount_point 4.下载并安装第三方开源工具,进行对丢失的文件进行搜索并进行还原 5.编译安装./configure--help 源码包解压 相应的命令进行对源码文件配置属性,./configureorcmake Make编译 Makeinstall(编译安装)
#实例操作: 1.在/root/test分区创建一个测试目录test_dir,放置文件 2.删除测试目录,rm-rftest_dir
3.备份/root/test分区,ddif=/dev/sdbof=/backup(dd只能备份文件,创建文件,和备份分区) 目录的话不行
4.卸载umount /root/test 或者 umount /dev/sdb挂载点
5.下载第三方文件到其他目录 6.接入文件是bz2压缩的就tarjxffilename|gzip就用tarzxffilename 也可将文件解压到指定目录 Tarz|jxffilename-C/dirname
7.进入目录extundelete-0.2.4编译安装 a.先安装软件依赖的库文件yuminstall-ye2fsprogs* ,和开发环境软件包组,yumgrouplist查看,安装yum groupinstall-y“软件包组” “Developmenttools”-开发包 b.可以通过./configure--help查看安装的一些属性 ./configure--prefix=/usr/local/repairsystem指定安装地点(make和makeinstall后就可以看到)
C.makemakeinstall 编译安装完成,默认文件是放在/usr/local/bin/extundelete 自己指定的话就放在/usr/local/repairsystem/bin/extundelete (bin目录下的文件,可以看作是一个命令extundelete就是一个命令)
Extundelete相关命令: 1.extundelete--inode(双斜杠)2/dev/sdb1(sdb1是删除的文件的分区) 查看删除文件的inode值是多少(要记得inode值是什么) 2.extundelete--restore-inodeinode值/dev/sdb1分区(卸载的分区) 命令类似:extundelete --restore-inode /dev/sdb1 3.extundelete--restore-all/dev/sdb1恢复/dev/sdb1全部被删除的文件 我们只需要执行下面这条命令即可,上面是扩展的 执行完extundelete--restore-all/dev/sdb 之后 你在哪个分区下执行这条命令,那么这条命令执行完后就会在这个分区生成一个文件夹 命名为RECOVERD_FILES,恢复好的文件都在里面,自己找到要恢复的复制就行
2025-01-18 18:09
2025-01-18 17:33
2025-01-18 17:29
2025-01-18 17:26
2025-01-18 17:15
2025-01-18 17:03
2025-01-18 16:07
2025-01-18 15:49