2018年11月5日

Linux系统通过extundelete恢复已删除的数据-风中流浪

我们家都赚得Windows体系有任一回收站。,全部的删除的论文都可以短暂拜访回收站回收。,甚至按住Shift键不断地删除。,也有很多的记载回复软件可供应用。。设想记载在Linux下被删除,多少回复呢?,Linux体系缺乏回收站。,它要不是短暂拜访记载回复软件来处理。。
Linux体系中有很多开源记载回复器。,比如:debugfs、R-Linux、ext3grep、extundelete等,这么我以为把ExtEnter删除给你。,此器用于复原EXT体式(Ext3)、Ext4等论文体系被相反的删除。。

一、删除回复规律

在引入ExtTeleEnter复原记载在前方,,让我们家短文地心得iNoDE的知。。土地Linux,你可以短暂拜访LS。 ID命令以反省论文或容量的iNoDE值。,比如,反省根容量的iNood值。,可以输出:

[根]慢车大师 ~]# ls -id /
64 /

Linux体系短暂拜访喜欢做RM诸如此类的命令来删除论文或容量。,它最好的整肃论文的iNood杂种击中要害节柄。,实践的论文或容量也记忆在磁盘上。,这些删除的记载块在体系R在前方缺乏被重行分派。,即,在被新记载重叠在前方。,这些记载并缺乏真正停止。。
应用ExtTeleEnter复原论文不依靠于假设的的论文体式。,率先extundelete会短暂拜访论文体系的inode数据来收购趋势论文体系下全部的论文的数据,包罗目前的论文和已删除论文,此数据包罗论文名和搜集杂种。。话说回来将iNoDE数据与日记相结合,以查询块的获名次。,包罗直系的块、间接得来的块数据。惟一剩下的,应用DD命令来后补的数据。,复原记载论文。

二、固着ExtTeleDelt软件

ExtTeleCelt缺乏被恢复的许久。,现时是最新版本。。在固着extundelete在前方需求固着e2fsprogs和e2fsprogs-libs两个依靠包。

[根]慢车大师 川芎嗪 wget 
[根]慢车大师 川芎嗪 yum -y install bzip2 e2fsprogs-devel e2fsprogs gcc-c++ make
[根]慢车大师 川芎嗪 tar jxvf .tar.bz2
[根]慢车大师 川芎嗪 cd 
[根]慢车大师 ]# ./configure
[根]慢车大师 ]# make && make install

固着ExtTeleDelt后成固着,在体系中扩大ExtEnter可表演论文。,可短暂拜访“extundelete 扶助应用这时命令。。

三、应用ExtEnter删除命令

命令体式: extundelete [选择权] [--] device-file
在监狱里,参量(选择权):
--version, [VV],显示软件版本号。
--help,显示软件扶助数据。
--superblock,显示超等的块数据。
--journal,显示日记数据。
--after dtime,时期参量,在一节时期后被删除的论文或容量。。
--before dtime,时期参量,在任何人段时期在前方被删除的论文或容量。。
举动(举动):
--inode ino,显示杂种IO的数据。
--block blk,记载块BLK的显示数据。
--restore-inode ino[,ino,...],回复命令参量,论文复原杂种IO,回复论文将自发的投资在RealdEdx论文论文夹中。,应用杂种编号作为扩大。
--restore-file 航线,回复命令参量,表现将复原命名航线的论文。,将回复的论文放在CurrE下的回复论文容量中。
--restore-files 航线,回复命令参量,提示将回复航线中列出的全部的论文。。
--restore-all,回复命令参量,它将尝试回复全部的容量和论文。。
-j journal,提示扩大日记是从命名论文读取的。。
-b blocknumber,提示论文体系是应用B的超等的块翻开的。,通常用于反省目前的超等的块其中的哪一个是C论文。。
-B blocksize,短暂拜访命名记载块的大小人来翻开论文体系。,通常用于反省先前赚得大小人的论文。。

四、应用ExtTeleEnter(勘探)复原记载

(1)仿照删除记载
发现分区,而且分区被体式化为Ext3。,将此分区固着到/data容量。,将有些人容量和论文重复到/记载,并删除有些人论文和容量。。
注:短暂拜访勘探,Ext4体式分区记载回复不及格,如同ExtEnter不支持Ext4论文体系。。

[根]慢车大师 ~]# mkfs.ext3 /dev/sdb1
[根]慢车大师 ~]# mkdir /data
[根]慢车大师 ~]# mount /dev/sdb1 /data
[根]慢车大师 ~]# cp -r /tmp/ /data/
[根]慢车大师 ~]# cp /etc/redhat-release /data/
[根]慢车大师 ~]# mkdir /data/test
[根]慢车大师 ~]# echo "勘探论文" > /data/test/
[根]慢车大师 ~]# md5sum /data/redhat-release 
137e28b464c4b8e6e4347b36621a38ab  /data/redhat-release
[根]慢车大师 ~]# md5sum /data/test/ 
65be68a792b7ef18ae268b80e15dd55e  /data/test/
[根]慢车大师 ~]# rm -rf /data/*

(2)记载回复前的非直接性生产工作。
一定要识记,一旦记载被相反的删除,立刻倾吐磁盘分区。。
[根]慢车大师 ~]# umount /data/
查询可回复的记载数据
注:记载是根分区。,根分区的搜集通常为2。。

extundelete /dev/sdb1 --inode 2
……
File name                                       | Inode number | Deleted status
.                                                 2
..                                                2
lost+found                                        11             Deleted
                                 524289         Deleted
redhat-release                                    12             Deleted
test                                              393217         Deleted

符号删除被删除的论文或容量。,连同有关的的杂种值。。
(3)复原单一的论文

[根]慢车大师 /]# extundelete  /dev/sdb1 --restore-file redhat-release
NOTICE: Extended attributes are not 回复。
Loading filesystem metadata ... 80 groups 教育。
Loading journal descriptors ... 67 descriptors 教育。
Successfully restored file redhat-release
[根]慢车大师 /]# cd RECOVERED_FILES/
[根]慢车大师 RECOVERED_FILES]# md5sum redhat-release 
137e28b464c4b8e6e4347b36621a38ab  redhat-release

回复单一的论文应用参量回复论文,回复单容量应用参量回复容量,您需求应用论文的对立航线。。记载是根容量。,redhat-release论文的绝对航线是/data/redhat-release,对立航线是ReHAT清偿。。
论文回复成后,在表演extundelete命令的趋势容量下会发现任一RECOVERED_FILES容量,用于记忆回复的论文。。
土地MD5加密,ReHATE发行论文回复成。
(4)复原单一的容量

[根]慢车大师 /]# extundelete /dev/sdb1 --restore-directory /test
NOTICE: Extended attributes are not 回复。
Loading filesystem metadata ... 80 groups 教育。
Loading journal descriptors ... 67 descriptors 教育。
Searching for recoverable inodes in directory /test ... 
57 recoverable inodes found.
Looking through the directory structure for deleted files ... 
56 recoverable inodes still 错综复杂的。
[根]慢车大师 /]# cd RECOVERED_FILES/
[根]慢车大师 RECOVERED_FILES]# md5sum test/ 
65be68a792b7ef18ae268b80e15dd55e  test/
[根]慢车大师 RECOVERED_FILES]# cat test/ 
勘探论文

(5)复原全部的记载。
应用-Real-ALL参量回复全部的已删除的论文和容量。

[根]慢车大师 /]# extundelete  /dev/sdb1 --restore-all
NOTICE: Extended attributes are not 回复。
Loading filesystem metadata ... 80 groups 教育。
Loading journal descriptors ... 67 descriptors 教育。
Searching for recoverable inodes in directory / ... 
57 recoverable inodes found.
Looking through the directory structure for deleted files ... 
0 recoverable inodes still 错综复杂的。
[根]慢车大师 /]# cd RECOVERED_FILES/
[根]慢车大师 RECOVERED_FILES]# ls
  redhat-release  redhat-release.v1  test
[根]慢车大师 RECOVERED_FILES]# du -sh /
5.2M    /

短暂拜访下面的数据,我们家可以见全部的的记载都先前回复了。。
(6)即时回复记载。
应用-后和-在参量在前方,您可以命名任一时期段。,回复同时删除的记载,需求的总秒数,短暂拜访日期 S命令视域。

[根]慢车大师 RECOVERED_FILES]# date +%s
1537513612
extundelete --after 1537513612 --restore-all /dev/sdb1  回复时期点后删除的记载
extundelete --before 1537513612 --restore-all /dev/sdb1  复原在某个时期点在前方删除的记载
extundelete --after 1537513612 --before 1537513755 --restore-all /dev/sdb1  复原在一节时期内删除的记载

我不会的编制回复时期段的勘探容量。,你可以勘探你自己。。

发表评论

电子邮件地址不会被公开。 必填项已用*标注