专栏首页FreeBuf如何恢复Linux中的误删文件

如何恢复Linux中的误删文件

写在前面的话

在开始教程之前我有必要提醒大家,使用窗口管理器(GUI)删除文件和使用命令行工具(CLI)删除文件这两种方法之间是有区别的。

当我们使用窗口管理器来删除文件时,我们仅仅只是将文件从某个目录移动到了另一个目录中(回收站)。

在这种情况下,唯一得到更新的就是你文件系统索引节点(inode)的元数据信息,例如被删除文件的时间戳、文件所占存储区块和扩展属性等数据。你可以使用tune2fs(调整和查看ext2/ext3文件系统的文件系统参数)来查看文件系统的索引节点信息,在命令行工具中输入下列指令:

sudo tune2fs -l /dev/sda1 |grep -i inode

运行之后,你将会得到类似下方所给出的示例信息:

$ sudo tune2fs -l /dev/sda1 |grep -i inode Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recoveryextent flex_bg sparse_super large_file huge_file uninit_bg dir_nlinkextra_isize Inode count: 30007296 Free inodes: 29382378 Inodes per group: 8192 Inode blocks per group: 512 First inode: 11 Inode size: 256 Journal inode: 8 First orphan inode: 21628027 Journal backup: inode blocks

文件删除知多少

当你使用SSH远程访问你的计算机时,你可以在目录“~/.local/share/Trash”中看到所有被删除的文件。这样一来,我们就可以直接使用GUI窗口来还原被删除的文件,非常的简单。

但是,当你使用“rm”命令来删除某个文件时,这个文件可就不仅仅是被移动到一个隐藏目录那么简单了。

这个时候,你需要通过更新索引节点元数据来通知操作系统,这份文件此前所占用的那部分磁盘空间已经可以继续使用了,操作系统现在可以直接将其他的文件写入这部分存储空间中。

接下来,操作系统可能会在一个小时之后就覆盖这部分磁盘空间,但也有可能会在两个月之后才会使用这部分存储区域,具体将取决于操作系统以及文件系统的设置。

当你在移除(安全删除)你的文件时,也就相当于你在让文件系统删除这份文件,然后再向这份文件此前所占用的那部分存储空间写入随机数据。对于“安全删除”的情况来说,我们通常是无法恢复被删除文件的。

所以最好的方法就是当你意识到你误删了某一份文件时,就立刻开始进行文件恢复工作。你等的时间越久,成功恢复误删文件的可能性也就越低。

如何恢复Linux平台下的误删文件?

目前我们有很多种方法可以恢复Linux平台上的误删文件,其中主流的两个选项就是TestDisk/PhotoRec和extundelete。

PhotoRec是TestDisk套件的其中一个组件,我们可以用它来恢复单独的文件。当然了,TestDisk的功能更加强大,它可以帮助我们恢复文件系统分区或磁盘启动扇区。

TestDisk支持目前主流的文件系统,而且目前主流的操作系统平台都可以使用这款工具。在这篇文章中我们主要以PhotoRec为例来进行讲解。

PhotoRec-【点击阅读原文下载工具】

PhotoRec 是一款用于恢复硬盘和光盘中丢失的视频、文档、压缩包等文件的数据恢复工具。除此之外,它还可以从数码相机的SD存储卡中恢复丢失的图片。因此,该软件被命名为PhotoRecovery这个名字。

PhotoRec可以忽略文件系统的类型,并直接从介质底层恢复数据。因此,在介质的文件系统受到严重破坏或被重新格式化后,它同样能够进行数据恢复。PhotoRec是一款开源、跨多平台的免费数据恢复软件,受GNUGeneral Public License (GPLV v2+) 的保护。

重要提示:一旦发现丢失或意外删除了某个图片、文件之后,请不要继续往该存储设备或磁盘写入新的文件,否则您可能会覆盖原来的数据。这意味着您在使用PhotoRec时,您千万不要将恢复的文件写入到原始数据所在的同一分区。

PhotoRec支持的操作系统平台

-DOS/Win9x -Windows NT 4/2000/XP/2003/Vista -Linux -FreeBSD, NetBSD, OpenBSD -Sun Solaris -Mac OS X

PhotoRec支持的文件系统

-FAT -NTFS -exFAT -ext2/ext3/ext4 -HFS+

一般情况下,PhotoRec的文件恢复过程如下图所示:

extundelete-【点击阅读原文下载工具】

除了PhotoRec之外,我们也可以选择使用extundelete来完成数据恢复工作。extundelete针对的是ext3和ext4文件系统,所以相较于TestDisk而言,extundelete的使用范围就有一定的限制了。

通常情况下,在进行文件恢复工作的时候,我们要先将文件系统重新挂载,然后给它分配只读权限。完成之后,再将恢复的文件写入另外一个文件系统中,这样可以避免原始数据所在的存储区域被覆盖。

使用extundelete来恢复文件的操作步骤非常的简单,我们只需要选择相应的文件系统,然后运行下面这条命令即可:

extundelete /dev/sda1 --restore-all

总结

数据恢复是一项非常复杂的工作,而且由于操作系统、文件系统以及人为因素的干扰,我们所恢复出来的文件很有可能会出现数据丢失的情况。

所以当你发现你误删了文件时,请立刻停止使用你的电脑,并且尽快进行数据恢复工作,以免你的误删文件被其他的数据覆盖掉。

* 参考来源:slashgeek,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:Alpha_h4ck

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-11-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Expandpass:用于解密你有点记不清的密码的工具

    expandpass是一个简单的字符串扩展器,主要用于帮助你破解那些你有点记不清的密码。

    FB客服
  • 极客都应该知道的Linux技巧

    是什么区分开普通的Linux用户和超级极客的呢?很简单:用在学习那些使长时工作转变为一瞬间工作的技巧、诀窍、秘诀和技术上的时间。如果你想提高效率而又不用做这些搜...

    FB客服
  • 火眼(FireEye)实验室FLARE IDA Pro脚本系列:MSDN注释插件

    作者 Rabbit_Run 火眼实验室的高级逆向工程(简称“FLARE”)团队继续把知识和工具分享给社区。本系列博文以一个用于“自动化恢复恶意程序中的结构化字符...

    FB客服
  • Thrift辅助类,用于简化Thrift编程

    CThriftServerHelper用于服务端,CThriftClientHelper用于客户端。 源代码链接:https://github.com/e...

    一见
  • Jmeter(二十六)_数据驱动测试

    花了一点时间做了一个通用的执行引擎,好处就是我不用再关注测试脚本的内容,而是用测试用例的数据去驱动我们执行的方向。(这个只适合单个接口的测试,具体运用到接口自动...

    飞天小子
  • 学界 | 牛津学霸的20条读博自救指南

    有些学校不光要求在某顶级期刊里发表一些论文,还需要你时刻待命为“老板”解决一些问题。

    大数据文摘
  • Centos7下安装和配置iptables防火墙

    Sindsun
  • Android学习笔记(一)Android应用程序的组成部分

      Android应用程序由松散耦合的组件组成,并使用应用程序Manifest绑定到一起;应用程序Manifest描述了每一组件和它们之间的交互方式,还用于指定...

    codingblock
  • Python爬虫进阶必备 | RSA 加密案例解析汇总(一)

    这次把咸鱼遇到的 RSA 的案例做了汇总,这个汇总系列会持续更新,攒到一定数量的网站就发一次,关于 RSA 的加解密可以参考之前的文章,这里不做赘述。可以看文末...

    叫我龙总
  • Android 内存泄漏分析

    外部类不管有多少个实例,都是共享同一个静态内部类,因此静态内部类不会持有外部类的引用

    叶应是叶

扫码关注云+社区

领取腾讯云代金券