如何恢复Linux中的误删文件
作者:admin | 时间:2016-11-16 22:26:13 | 分类:黑客技术 隐藏侧边栏展开侧边栏
写在前面的话
在开始教程之前我有必要提醒大家,使用窗口管理器(GUI)删除文件和使用命令行工具(CLI)删除文件这两种方法之间是有区别的。
当我们使用窗口管理器来删除文件时,我们仅仅只是将文件从某个目录移动到了另一个目录中(回收站)。在这种情况下,唯一得到更新的就是你文件系统索引节点(inode)的元数据信息,例如被删除文件的时间戳、文件所占存储区块和扩展属性等数据。你可以使用tune2fs(调整和查看ext2/ext3文件系统的文件系统参数)来查看文件系统的索引节点信息,在命令行工具中输入下列指令:
sudo tune2fs -l /dev/sda1 |grep -i inode
运行之后,你将会得到类似下方所给出的示例信息:
$ sudo tune2fs -l /dev/sda1 |grep -i inode
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recoveryextent flex_bg sparse_super large_file
huge_file uninit_bg dir_nlinkextra_isize
Inode count: 30007296
Free inodes: 29382378
Inodes per group: 8192
Inode blocks per group: 512
First inode: 11
Inode size: 256
Journal inode: 8
First orphan inode: 21628027
Journal backup: inode blocks
文件删除知多少
当你使用SSH远程访问你的计算机时,你可以在目录“~/.local/share/Trash”中看到所有被删除的文件。这样一来,我们就可以直接使用GUI窗口来还原被删除的文件,非常的简单。但是,当你使用“rm”命令来删除某个文件时,这个文件可就不仅仅是被移动到一个隐藏目录那么简单了。这个时候,你需要通过更新索引节点元数据来通知操作系统,这份文件此前所占用的那部分磁盘空间已经可以继续使用了,操作系统现在可以直接将其他的文件写入这部分存储空间中。接下来,操作系统可能会在一个小时之后就覆盖这部分磁盘空间,但也有可能会在两个月之后才会使用这部分存储区域,具体将取决于操作系统以及文件系统的设置。
当你在移除(安全删除)你的文件时,也就相当于你在让文件系统删除这份文件,然后再向这份文件此前所占用的那部分存储空间写入随机数据。对于“安全删除”的情况来说,我们通常是无法恢复被删除文件的。所以最好的方法就是当你意识到你误删了某一份文件时,就立刻开始进行文件恢复工作。你等的时间越久,成功恢复误删文件的可能性也就越低。
如何恢复Linux平台下的误删文件?
目前我们有很多种方法可以恢复Linux平台上的误删文件,其中主流的两个选项就是TestDisk/PhotoRec和extundelete。
PhotoRec是TestDisk套件的其中一个组件,我们可以用它来恢复单独的文件。当然了,TestDisk的功能更加强大,它可以帮助我们恢复文件系统分区或磁盘启动扇区。TestDisk支持目前主流的文件系统,而且目前主流的操作系统平台都可以使用这款工具。在这篇文章中我们主要以PhotoRec为例来进行讲解。
PhotoRec-【工具下载】
PhotoRec 是一款用于恢复硬盘和光盘中丢失的视频、文档、压缩包等文件的数据恢复工具。除此之外,它还可以从数码相机的SD存储卡中恢复丢失的图片。因此,该软件被命名为PhotoRecovery这个名字。PhotoRec可以忽略文件系统的类型,并直接从介质底层恢复数据。因此,在介质的文件系统受到严重破坏或被重新格式化后,它同样能够进行数据恢复。PhotoRec是一款开源、跨多平台的免费数据恢复软件,受GNUGeneral Public License (GPLV v2+) 的保护。
重要提示:一旦发现丢失或意外删除了某个图片、文件之后,请不要继续往该存储设备或磁盘写入新的文件,否则您可能会覆盖原来的数据。这意味着您在使用PhotoRec时,您千万不要将恢复的文件写入到原始数据所在的同一分区。
PhotoRec支持的操作系统平台
-DOS/Win9x
-Windows NT 4/2000/XP/2003/Vista
-Linux
-FreeBSD, NetBSD, OpenBSD
-Sun Solaris
-Mac OS X
PhotoRec支持的文件系统
-FAT
-NTFS
-exFAT
-ext2/ext3/ext4
-HFS+
一般情况下,PhotoRec的文件恢复过程如下图所示:
extundelete-【工具下载】
除了PhotoRec之外,我们也可以选择使用extundelete来完成数据恢复工作。extundelete针对的是ext3和ext4文件系统,所以相较于TestDisk而言,extundelete的使用范围就有一定的限制了。
通常情况下,在进行文件恢复工作的时候,我们要先将文件系统重新挂载,然后给它分配只读权限。完成之后,再将恢复的文件写入另外一个文件系统中,这样可以避免原始数据所在的存储区域被覆盖。使用extundelete来恢复文件的操作步骤非常的简单,我们只需要选择相应的文件系统,然后运行下面这条命令即可:
extundelete /dev/sda1 --restore-all
总结
数据恢复是一项非常复杂的工作,而且由于操作系统、文件系统以及人为因素的干扰,我们所恢复出来的文件很有可能会出现数据丢失的情况。所以当你发现你误删了文件时,请立刻停止使用你的电脑,并且尽快进行数据恢复工作,以免你的误删文件被其他的数据覆盖掉。
* 参考来源:slashgeek,FB小编Alpha_h4ck编译