恢复linux ext4分区上误删除的文件
时间:2015-12-17 01:25 来源:linux.it.net.cn 作者:IT
我是使用 Xmanager Enterprise 4 来连接CentOS Linux 6.4 的。
可恶的XManager有一个恶心的bug,时不时的出现 焦点问题:
2012年10月15日 星期一,14:44:01
==============================================
温馨提示: Xmanager有个毛病
就是 时不时的出现 窗口之间焦点的切换必须点击菜单栏上面的 title 才可以,而且不能用alt拖动窗口了.有时又可以..
解决方法:打开后,按住 win+D 再win+D
焦点的切换就会发生变化了...可以点击内容 切换
而且,也可以使用alt 移动窗口了....
2013年5月25日 今天,14:09:40
==============================================
键盘上 按p键 也会失效。
需要win+D 多次 才会解决这个问题
不知道有人遇到过这个问题没,使用 XMing 来连接xdmcp 倒是没问题,而且xmanager无法hook快捷键,用起来 快捷键使用起来不方便,这个就不说了,但是上面的 我确认 是一个 BUG。很恶心。
这次 我要删除一个桌面的文件,点击后,shift+del 回车,快速删除,一看文件,没删除,难道。。。看看另一个nautilus 窗口,正在浏览自己的ftp服务,缺少了一个文件夹,我勒个去啊。。。。。。。。。。
如果是ntfs分区,windows下的,我可以diskgenius + winhex 速度恢复文件。但是ext4分区下,我真没干过这种事情啊。
搜索一下,
http://my.oschina.net/Qunero/blog/8607
今天一时手快 rm -rf .* ,删除了一个重要邮件目录,幸好通过extundelete恢复了。
记下操作流程:
1.准备工作
主要通过 extundelete 0.2.0完成恢复
https://sourceforge.net/projects/extundelete/files/latest/download
需要依赖两个包
sudo aptitude install e2fsprogs e2fslibs-dev
下载页面http://extundelete.sourceforge.net/
快速下载: download extundelete
编译三部曲
./configure
make
sudo make install
2.如果分区已经挂载,先umount,并且在将要恢复的地方查看空间大小
df -h ./
如果你要恢复的是根目录或者系统目录就只有拿硬盘挂到另外一台电脑上操作了。
3.恢复制定分区下所有删除文件,默认恢复到执行命令的目录下,文件夹名字为RECOVERED_FILES,使用详情请参考:extundelete --help 运行的结果
sudo extundelete /dev/sda8 --restore-all
---------------------------------------------
$ extundelete --help
Usage: extundelete [options] [--] device-file
Options:
--version, -[vV] Print version and exit successfully.
--help, Print this help and exit successfully.
--superblock Print contents of superblock in addition to the rest.
If no action is specified then this option is implied.
--journal Show content of journal.
--after dtime Only process entries deleted on or after 'dtime'.
--before dtime Only process entries deleted before 'dtime'.
Actions:
--inode ino Show info on inode 'ino'.
--block blk Show info on block 'blk'.
--restore-inode ino[,ino,...]
Restore the file(s) with known inode number 'ino'.
The restored files are created in ./RESTORED_FILES
with their inode number as extension (ie, file.12345).
--restore-file 'path' Will restore file 'path'. 'path' is relative to root
of the partition and does not start with a '/' (it
must be one of the paths returned by --dump-names).
The restored file is created in the current
directory as 'RECOVERED_FILES/path'.
--restore-files 'path' Will restore files which are listed in the file 'path'.
Each filename should be in the same format as an option
to --restore-file, and there should be one per line.
--restore-all Attempts to restore everything.
-j journal Reads an external journal from the named file.
-b blocknumber Uses the backup superblock at blocknumber when opening
the file system.
-B blocksize Uses blocksize as the block size when opening the file
system. The number should be the number of bytes.
按照这个文章的提示,下载extundelete-0.2.4.tar.bz2 同时需要 yum install e2fsprogs e2fsprogs-devel e2fsprogs-libs ,其他系统下命名略有不同。我是 yum search e2fs找到的,在epel 仓库下的:wget http://mirrors.yun-idc.com/epel/6/x86_64/epel-release-6-8.noarch.rpm 。
搞定。恢复的文件在 当前目录下的 RECOVERED_FILES 文件夹内。
再送一篇文章,我反正没成功,因为是在vsftpd下删除的文件,可能和 rm -rf 删除机制不太一样??
系统管理:恢复误删除的Linux文件全攻略2008-08-01 20:18
作为一个多用户、多任务的操作系统,Linux下的文件一旦被删除,是难以恢复的。尽管删除命令只是在文件节点中作删除标记,并不真正清除文件内容,但是其他用户和一些有写盘动作的进程会很快覆盖这些数据。不过,对于家庭单机使用的Linux,或者误删文件后及时补救,还是可以恢复的。
1、Ext2文件系统结构的简单介绍
在Linux所用的Ext2文件系统中,文件是以块为单位存储的,默认情况下每个块的大小是1K,不同的块以块号区分。每个文件还有一个节点,节点中包含有文件所有者,读写权限,文件类型等信息。对于一个小于12个块的文件,在节点中直接存储文件数据块的块号。如果文件大于12个块,那么节点在12个块号之后存储一个间接块的块号,在这个间接块号所对应的块中,存储有256个文件数据块的块号(Ext2fs中每个块号占用4字节,这样一个块中所能存储的块号就是1024/4=256)。如果有更大的文件,那么还会在节点中出现二级间接块和三级间接块。
2、恢复被误删文件的方法
大多数Linux发行版都提供一个debugfs工具,可以用来对Ext2文件系统进行编辑操作。不过在使用这个工具之前,还有一些工作要做。
首先以只读方式重新挂载被误删的文件所在分区。使用如下命令:(假设文件在/usr分区)
mount –r –n –o remount /usr -r表示只读方式挂载;-n表示不写入/etc/mtab,如果是恢复/etc上的文件,就加上这个参数。如果系统说xxx partion busy,可以用fuser命令查看一下是哪些进程使用这个分区上的文件:
fuser –v –m /usr
如果没有什么重要的进程,用以下命令停掉它们:
fuser -k –v –m /usr
然后就可以重新挂载这些文件系统了。
如果是把所有的文件统一安装在一个大的/分区当中,可以在boot提示符下用linux single进入单用户模式,尽量减少系统进程向硬盘写入数据的机会,要不干脆把硬盘挂在别的机器上。另外,恢复出来的数据不要写到/上面,避免破坏那些有用的数据。如果机器上有dos/windows,可以写到这些分区上面:
mount –r –n /dev/hda1 /mnt/had
然后就可以执行debugfs:(假设Linux在 /dev/hda5)
#debugfs /dev/hda5
就会出现debugfs提示符debugfs:
使用lsdel命令可以列出很多被删除的文件的信息:
debugfs:lsdel
debugfs: 2692 deleted inodes found.
Inode Owner Mode Size Blocks Time deleted
164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001
…………………………………………………………
36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001
196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001
debugfs:
列出的文件有很多(这里找到2692个),第一字段是文件节点号,第二字段是文件所有者,第三字段是读写权限,接下来是文件大小,占用块数,删除时间。
然后就可以根据文件大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件:
可以先看看文件数据状态:
debugfs:stat
Inode: 196829 Type: regular Mode: 0644 Flags: 0x0 Version: 1
User: 0 Group: 0 Size: 149500
File ACL: 0 Directory ACL: 0
Links: 0 Blockcount: 38
Fragment: Address: 0 Number: 0 Size: 0
ctime: 0x31a9a574 -- Mon May 27 13:52:04 2001
atime: 0x31a21dd1 -- Tue May 21 20:47:29 2001
mtime: 0x313bf4d7 -- Tue Mar 5 08:01:27 2001
dtime: 0x31a9a574 -- Mon May 27 13:52:04 2001
BLOCKS:
594810 594811 594814 594815 594816 594817 ………………………………….
TOTAL: 38
然后就可以用dump指令恢复文件:
debugfs:dump /mnt/hda/01.sav
这样就把文件恢复出来了。退出debugfs:
debugfs:quit
另一种方法是手工编辑inode:
debugfs:mi
Mode [0100644]
User ID [0]
Group ID [0]
Size [149500]
Creation time [0x31a9a574]
Modification time [0x31a9a574]
Access time [0x31a21dd1]
Deletion time [0x31a9a574] 0
Link count [0] 1
Block count [38]
File flags [0x0]
Reserved1 [0]
File acl [0]
Directory acl [0]
Fragment address [0]
Fragment number [0]
Fragment size [0]
Direct Block #0 [594810]
…………………………….
Triple Indirect Block [0]
使用mi指令后每次显示一行信息以供编辑,其它行可以直接按回车表示确认,把deletion time改成0(未删除),Link count改成1。改好后退出debugfs:
debugfs:quit
然后用fsck检查/dev/hda5
fsck /dev/hda5
程序会说找到丢失的数据块,放在lost+found里面。这个目录里的文件就是我们要的东东。
View Code
(责任编辑:IT)
我是使用 Xmanager Enterprise 4 来连接CentOS Linux 6.4 的。 可恶的XManager有一个恶心的bug,时不时的出现 焦点问题: 2012年10月15日 星期一,14:44:01 ============================================== 温馨提示: Xmanager有个毛病 就是 时不时的出现 窗口之间焦点的切换必须点击菜单栏上面的 title 才可以,而且不能用alt拖动窗口了.有时又可以.. 解决方法:打开后,按住 win+D 再win+D 焦点的切换就会发生变化了...可以点击内容 切换 而且,也可以使用alt 移动窗口了.... 2013年5月25日 今天,14:09:40 ============================================== 键盘上 按p键 也会失效。 需要win+D 多次 才会解决这个问题 不知道有人遇到过这个问题没,使用 XMing 来连接xdmcp 倒是没问题,而且xmanager无法hook快捷键,用起来 快捷键使用起来不方便,这个就不说了,但是上面的 我确认 是一个 BUG。很恶心。 这次 我要删除一个桌面的文件,点击后,shift+del 回车,快速删除,一看文件,没删除,难道。。。看看另一个nautilus 窗口,正在浏览自己的ftp服务,缺少了一个文件夹,我勒个去啊。。。。。。。。。。 如果是ntfs分区,windows下的,我可以diskgenius + winhex 速度恢复文件。但是ext4分区下,我真没干过这种事情啊。 搜索一下, http://my.oschina.net/Qunero/blog/8607 今天一时手快 rm -rf .* ,删除了一个重要邮件目录,幸好通过extundelete恢复了。 记下操作流程: 1.准备工作 主要通过 extundelete 0.2.0完成恢复 https://sourceforge.net/projects/extundelete/files/latest/download 需要依赖两个包 sudo aptitude install e2fsprogs e2fslibs-dev 下载页面http://extundelete.sourceforge.net/ 快速下载: download extundelete 编译三部曲 ./configure make sudo make install 2.如果分区已经挂载,先umount,并且在将要恢复的地方查看空间大小 df -h ./ 如果你要恢复的是根目录或者系统目录就只有拿硬盘挂到另外一台电脑上操作了。 3.恢复制定分区下所有删除文件,默认恢复到执行命令的目录下,文件夹名字为RECOVERED_FILES,使用详情请参考:extundelete --help 运行的结果 sudo extundelete /dev/sda8 --restore-all --------------------------------------------- $ extundelete --help Usage: extundelete [options] [--] device-file Options: --version, -[vV] Print version and exit successfully. --help, Print this help and exit successfully. --superblock Print contents of superblock in addition to the rest. If no action is specified then this option is implied. --journal Show content of journal. --after dtime Only process entries deleted on or after 'dtime'. --before dtime Only process entries deleted before 'dtime'. Actions: --inode ino Show info on inode 'ino'. --block blk Show info on block 'blk'. --restore-inode ino[,ino,...] Restore the file(s) with known inode number 'ino'. The restored files are created in ./RESTORED_FILES with their inode number as extension (ie, file.12345). --restore-file 'path' Will restore file 'path'. 'path' is relative to root of the partition and does not start with a '/' (it must be one of the paths returned by --dump-names). The restored file is created in the current directory as 'RECOVERED_FILES/path'. --restore-files 'path' Will restore files which are listed in the file 'path'. Each filename should be in the same format as an option to --restore-file, and there should be one per line. --restore-all Attempts to restore everything. -j journal Reads an external journal from the named file. -b blocknumber Uses the backup superblock at blocknumber when opening the file system. -B blocksize Uses blocksize as the block size when opening the file system. The number should be the number of bytes. 按照这个文章的提示,下载extundelete-0.2.4.tar.bz2 同时需要 yum install e2fsprogs e2fsprogs-devel e2fsprogs-libs ,其他系统下命名略有不同。我是 yum search e2fs找到的,在epel 仓库下的:wget http://mirrors.yun-idc.com/epel/6/x86_64/epel-release-6-8.noarch.rpm 。 搞定。恢复的文件在 当前目录下的 RECOVERED_FILES 文件夹内。 再送一篇文章,我反正没成功,因为是在vsftpd下删除的文件,可能和 rm -rf 删除机制不太一样?? 系统管理:恢复误删除的Linux文件全攻略2008-08-01 20:18 作为一个多用户、多任务的操作系统,Linux下的文件一旦被删除,是难以恢复的。尽管删除命令只是在文件节点中作删除标记,并不真正清除文件内容,但是其他用户和一些有写盘动作的进程会很快覆盖这些数据。不过,对于家庭单机使用的Linux,或者误删文件后及时补救,还是可以恢复的。 1、Ext2文件系统结构的简单介绍 在Linux所用的Ext2文件系统中,文件是以块为单位存储的,默认情况下每个块的大小是1K,不同的块以块号区分。每个文件还有一个节点,节点中包含有文件所有者,读写权限,文件类型等信息。对于一个小于12个块的文件,在节点中直接存储文件数据块的块号。如果文件大于12个块,那么节点在12个块号之后存储一个间接块的块号,在这个间接块号所对应的块中,存储有256个文件数据块的块号(Ext2fs中每个块号占用4字节,这样一个块中所能存储的块号就是1024/4=256)。如果有更大的文件,那么还会在节点中出现二级间接块和三级间接块。 2、恢复被误删文件的方法 大多数Linux发行版都提供一个debugfs工具,可以用来对Ext2文件系统进行编辑操作。不过在使用这个工具之前,还有一些工作要做。 首先以只读方式重新挂载被误删的文件所在分区。使用如下命令:(假设文件在/usr分区) mount –r –n –o remount /usr -r表示只读方式挂载;-n表示不写入/etc/mtab,如果是恢复/etc上的文件,就加上这个参数。如果系统说xxx partion busy,可以用fuser命令查看一下是哪些进程使用这个分区上的文件: fuser –v –m /usr 如果没有什么重要的进程,用以下命令停掉它们: fuser -k –v –m /usr 然后就可以重新挂载这些文件系统了。 如果是把所有的文件统一安装在一个大的/分区当中,可以在boot提示符下用linux single进入单用户模式,尽量减少系统进程向硬盘写入数据的机会,要不干脆把硬盘挂在别的机器上。另外,恢复出来的数据不要写到/上面,避免破坏那些有用的数据。如果机器上有dos/windows,可以写到这些分区上面: mount –r –n /dev/hda1 /mnt/had 然后就可以执行debugfs:(假设Linux在 /dev/hda5) #debugfs /dev/hda5 就会出现debugfs提示符debugfs: 使用lsdel命令可以列出很多被删除的文件的信息: debugfs:lsdel debugfs: 2692 deleted inodes found. Inode Owner Mode Size Blocks Time deleted 164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001 ………………………………………………………… 36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001 196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001 debugfs: 列出的文件有很多(这里找到2692个),第一字段是文件节点号,第二字段是文件所有者,第三字段是读写权限,接下来是文件大小,占用块数,删除时间。 然后就可以根据文件大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件: 可以先看看文件数据状态: debugfs:stat Inode: 196829 Type: regular Mode: 0644 Flags: 0x0 Version: 1 User: 0 Group: 0 Size: 149500 File ACL: 0 Directory ACL: 0 Links: 0 Blockcount: 38 Fragment: Address: 0 Number: 0 Size: 0 ctime: 0x31a9a574 -- Mon May 27 13:52:04 2001 atime: 0x31a21dd1 -- Tue May 21 20:47:29 2001 mtime: 0x313bf4d7 -- Tue Mar 5 08:01:27 2001 dtime: 0x31a9a574 -- Mon May 27 13:52:04 2001 BLOCKS: 594810 594811 594814 594815 594816 594817 …………………………………. TOTAL: 38 然后就可以用dump指令恢复文件: debugfs:dump /mnt/hda/01.sav 这样就把文件恢复出来了。退出debugfs: debugfs:quit 另一种方法是手工编辑inode: debugfs:mi Mode [0100644] User ID [0] Group ID [0] Size [149500] Creation time [0x31a9a574] Modification time [0x31a9a574] Access time [0x31a21dd1] Deletion time [0x31a9a574] 0 Link count [0] 1 Block count [38] File flags [0x0] Reserved1 [0] File acl [0] Directory acl [0] Fragment address [0] Fragment number [0] Fragment size [0] Direct Block #0 [594810] ……………………………. Triple Indirect Block [0] 使用mi指令后每次显示一行信息以供编辑,其它行可以直接按回车表示确认,把deletion time改成0(未删除),Link count改成1。改好后退出debugfs: debugfs:quit 然后用fsck检查/dev/hda5 fsck /dev/hda5 程序会说找到丢失的数据块,放在lost+found里面。这个目录里的文件就是我们要的东东。 View Code (责任编辑:IT) |