Luxin系统下数据被删如何恢复【技术篇】


一、操作数据需谨慎


在实际的工作中,朋友们可能会将linux服务器上的文件不小心误删除掉了。而且越是资历老的工程师越容易犯这样的错误,敲代码的速度也是够快,啪啪rm -rf一个回车,然后就是打脸时刻 。新人操作文件时往往战战兢兢、反复确认,反而不容易出错。如果你也是一个有多年工作经验的工程师,也给自己提个醒:淹死的都是会水的。

前言

今天不小心把一个文件给误删了,因为不想花半天时间重新写,就查找了一下Linux下恢复文件的方法。

因为是刚删不久,文件实际的数据应该还在

二、首先查看系统分区

Linux:~# df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/sda1              1968417    463571   1504846  24% /
tmpfs                    16384         4     16380   1% /var/lib/php5
tmpfs                    16384        40     16344   1% /var/run
tmpfs                   131072         4    131068   1% /tmp
ssl_service             262144         0    262144   0% /kssl/HRP/cache

三、使用系统自带工具debugfs进行修复

Linux:~# debugfs
debugfs 1.37 (21-Mar-2005)
debugfs:  open /dev/sda1

四打开删除的文件所在的分区

用ls -d查看刚刚删除的文件所在的目录
如果列表中有我们要找的文件,尖括号<>中是对应的inode号

debugfs:  ls -d /root/rand-test
 180331  (12) .    180225  (12) ..    180333  (16) assess
 180334  (32) experiments   <180451> (12) 4913    180358  (32) data
<180451> (20) .1.swp    180359  (68) periodtest.sh
<180337> (44) .singletest.input.swp    180451  (24) periodtest.input
 180356  (828) singletest.input   <180366> (32) .periodtest.input.swp
<180375> (748) .singletest.input.swp   <180338> (716) periodtest.input~

五、查看inode的日志文件

debugfs: logdump -i <180338>
Inode 180338 is at group 176, block 1441809, offset 128
Journal starts at block 3434, transaction 90549
FS block 1441809 logged at sequence 90622, journal block 3950

...

六、quit退出debugfs,使用dd命令进行恢复,bs为前面得到的offset,skip为前面得到的block

debugfs:  quit
Linux:~/rand-test# dd if=/dev/sda1 of=/root/rand-test/periodtest.input~ bs=128 count=1 skip=1441809
1+0 records in
1+0 records out
128 bytes transferred in 0.000081 seconds (1582468 bytes/sec)

遗憾的是,我要恢复的文件已经不在了

好在对于文本文件还有另一种方法,使用grep

第一步同样是找到文件所在的分区

然后使用grep对分区进行搜索,只要你记得文档中的某些关键字

grep -a -B 30 -A 150 'function checkInt() ' /dev/sda1 > tmp.txt

其中-a表示把分区看成文本形式(分区本身是二进制形式的),-B 30 -A 150表示找到搜索的内容就打印前面30行和后面150行

如果分区比较大可能需要一定的搜索时间,完成之后打开tmp.txt,你会发现在一堆乱码中镶嵌着你要恢复的本文

至此,大功告成。

总结

使用debugfs的方法适用于所有文件,不过需要inode信息仍然存在。使用grep的方法,只需要实际的block中数据还存在即可恢复,不过只适用于文本文件。

另外,切记rm需谨慎

公众号:"码出宇宙"  后续将持续更新干货八股文,质量文章,新的技术。 喜欢小码哥的话请点赞收藏加关注支持小码哥吧!

本文正在参与【内行知多少】 征文活动,一起来聊聊内行人才懂的那些事吧,高额牛币和百元京东卡等你来领~


#搞技术你要知道##春招##面经##Java##Linux##网络安全##笔记##技术栈#
小码哥高频面经及八股文 文章被收录于专栏

宝剑锋从磨砺出,梅花香自苦寒来,我是小码哥为你圆梦大厂少走弯路,值得关注。

全部评论
点赞 回复 分享
发布于 2022-05-27 11:04

相关推荐

评论
10
8
分享

创作者周榜

更多
牛客网
牛客企业服务