一。数据删除
命令:rm -rf,将任何数据直接从硬盘删除,且没有任何提示
建议做法:
- 把命令参数放到后面:rm -rfi
- 将删除的东西通过mv命令移动到系统下的/temp目录下,然后写个脚 本定期执行清除操作
- 备份
二。extundelete的安装与使用
Linux下常见的基于开源的数据恢复工具有:debugfs/R-Linux/ext3grep/extundelete
1.恢复原理:三步
- extundelete恢复文件并不依赖特定的文件格式,首先extundelete会通过文件系统的incode信息(可通过 ls -id / 查看;根目录的incode一般为2)来获得当前文件系统下所有文件的信息(包括文件名和incode,包括已删除的文件)。
- 然后利用incode信息结合日志去查询该incode所在块位置,包括直接块/间接块等信息。
- 最后利用dd命令将这些信息备份出来,从而恢复数据文件
2.安装(介绍编译安装)
- 安装前需安装e2fsprogs和e2fsprogs-libs两个依赖包
- 下载extundelete(.tar.bz2)结尾的文件,假设为0.2.4版本
- 解压:tar jxvf extundelete-0.2.4.tar.bz2
- cd extundelete-0.2.4
- ./configure
- make
- make install
3.用法
命令格式:extundelete [optons] [action] device-file
[option]参数:
- --version,-[vV],显示软件版本号
- --help,显示软件帮助信息
- --superblock,显示超级块信息
- --journal,显示日志信息
- --after dtime,时间参数,表示在某段时间之后被删除的文件或目录
- --before dtime,时间参数,表示在某段时间之前被删除的文件或目录
[action]动作参数:
- --incode into,显示节点“ino”的信息
- --block blk,显示数据块“blk”的信息
- --restore-incode ino[,ino,...],还原命令参数,表示还原节点“ino”的文件,还原的文件会自动放在当前目录下的RESTORED_FILES文件夹中,使用节点编号作为扩展名。
- --restore-file‘path‘,还原命令参数,表示将还原指定路径的文件,并把还原的文件放在当前目录下的RECOVERED_FILES文件中。
- --restore-all,还原命令参数,表示将尝试还原所有目录和文件
- -j journal,表示从已经命名的文件中读取扩展日志。
- -b blocknumber,表示使用之前备份的超级块来打开文件系统,一般用于查看现有超级块是不是当前所要的文件
- -B blocksize,表示使用数据块大小来打开文件系统,一般用于查看已经知道大小的文件。
4.注意
数据被误删之后,首先要做的是卸载被删除数据所在的磁盘或磁盘分区。如果根分区遭到删除,需要将系统进入单用户,并且将根分区以只读模式挂载。
原因:文件删除后,仅仅是将文件的incode中的扇区指针清零,实际文件还在。如果磁盘以读写械挂载,这些已删除文件的数据块就可能被操作系统重新分配出去,在这些数据块被新的数据覆盖后,这些数据就真丢失了。所以以只读模式挂载可以尽量降低数据块中数据被覆盖的风险。
时间: 2024-10-07 00:59:04