2021-05-12 14:32:11
extundelete:Linux下基於開源的資料恢復工具
2020-06-16 17:46:46
在Linux下,基於開源的資料恢復工具有很多,常見的有debugfs、R-Linux、ext3grep、extundelete等,比較常用的有ext3grep和extundelete,這兩個工具的恢復原理基本一樣,只是extundelete功能更加強大,本文重點介紹
**************************************************
* lsof 方式恢復 *
**************************************************
lsof
檔案剛剛被刪除,想要恢復,先嘗試lsof.
#lsof |grep data.file1
# cp /proc/xxx/xxx/xx /dir/data.file1
或者ps -ef
**************************************************
* extundelete 方式恢復 *
**************************************************
第一時間要做的就是解除安裝被刪除資料所在的分割區,如果是根分割區的資料遭到誤刪
yum install gcc gcc++
yum install gcc gcc-c++ gcc-g77
yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel
[root@dg extundelete-0.2.4]# ./configure
Configuring extundelete 0.2.4
Writing generated files to disk
tar xjf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make && make install
[root@dg extundelete-0.2.4]# make
make -s all-recursive
Making all in src
extundelete.cc:571: 警告:未使用的引數‘flags’
[root@dg extundelete-0.2.4]# make install
Making install in src
/usr/bin/install -c extundelete '/usr/local/bin'
---檢視幫助
root@dg extundelete-0.2.4]# make install
Making install in src
/usr/bin/install -c extundelete '/usr/local/bin'
[root@dg extundelete-0.2.4]# extundelete --help
Usage: extundelete [options] [--] device-file
Options:
--version, -[vV] Print version and exit successfully.
--help, Print this help and exit successfully.
--superblock Print contents of superblock in addition to the rest.
If no action is specified then this option is implied.
--journal Show content of journal.
--after dtime Only process entries deleted on or after 'dtime'.
--before dtime Only process entries deleted before 'dtime'.
Actions:
--inode ino Show info on inode 'ino'.
--block blk Show info on block 'blk'.
--restore-inode ino[,ino,...]
Restore the file(s) with known inode number 'ino'.
The restored files are created in ./RECOVERED_FILES
with their inode number as extension (ie, file.12345).
--restore-file 'path' Will restore file 'path'. 'path' is relative to root
of the partition and does not start with a '/'
The restored file is created in the current
directory as 'RECOVERED_FILES/path'.
--restore-files 'path' Will restore files which are listed in the file 'path'.
Each filename should be in the same format as an option
to --restore-file, and there should be one per line.
--restore-directory 'path'
Will restore directory 'path'. 'path' is relative to the
root directory of the file system. The restored
directory is created in the output directory as 'path'.
--restore-all Attempts to restore everything.
-j journal Reads an external journal from the named file.
-b blocknumber Uses the backup superblock at blocknumber when opening
the file system.
-B blocksize Uses blocksize as the block size when opening the file
system. The number should be the number of bytes.
--log 0 Make the program silent.
--log filename Logs all messages to filename.
--log D1=0,D2=filename Custom control of log messages with comma-separated
Examples below: list of options. Dn must be one of info, warn, or
--log info,error error. Omission of the '=name' results in messages
--log warn=0 with the specified level to be logged to the console.
--log error=filename If the parameter is '=0', logging for the specified
level will be turned off. If the parameter is
'=filename', messages with that level will be written
to filename.
-o directory Save the recovered files to the named directory.
The restored files are created in a directory
named 'RECOVERED_FILES/' by default.
中引數(options)有:
--version, -[vV],顯示軟體版本號。
--help,顯示軟體幫助資訊。
--superblock,顯示超級塊資訊。
--journal,顯示紀錄檔資訊。
--after dtime,時間引數,表示在某段時間之後被刪的檔案或目錄。
--before dtime,時間引數,表示在某段時間之前被刪的檔案或目錄。
動作(action)有:
--inode ino,顯示節點“ino”的資訊。
--block blk,顯示資料塊“blk”的資訊。
--restore-inode ino[,ino,...],恢復命令引數,表示恢復節點“ino”的檔案,恢復的檔案會自動放在當前目錄下的RESTORED_FILES資料夾中,使用節點編號作為擴充套件名。
--restore-file 'path',恢復命令引數,表示將恢復指定路徑的檔案,並把恢復的檔案放在當前目錄下的RECOVERED_FILES目錄中。
--restore-files 'path',恢復命令引數,表示將恢復在路徑中已列出的所有檔案。
--restore-all,恢復命令引數,表示將嘗試恢復所有目錄和檔案。
-j journal,表示從已經命名的檔案中讀取擴充套件紀錄檔。
-b blocknumber,表示使用之前備份的超級塊來開啟檔案系統,一般用於檢視現有超級塊是不是當前所要的檔案。
-B blocksize,表示使用資料塊大小來開啟檔案系統,一般用於檢視已經知道大小的檔案。
1>fuser -k /dev/part && umount /dev/被刪除資料的盤 --殺掉存取磁碟的進程,umount 被刪除資料的盤
2>extundelete --inode 2 /dev/被刪除資料的盤
3>extundelete --restore-inode 13 /dev/被刪除資料的盤
4>恢復到 RECOVERD_FILES/
在資料被誤刪除後,第一時間要做的就是解除安裝被刪除資料所在的分割區,如果是根分割區的資料遭到誤刪,
就需要將系統進入單使用者模式,並且將根分割區以唯讀模式掛載。這樣做的原因很簡單,因為將檔案刪除後,
僅僅是將檔案的inode節點中的磁區指標清零,實際檔案還儲存在磁碟上,如果磁碟繼續以讀寫模式掛載,
這些已刪除的檔案的資料塊就可能被作業系統重新分配出去,在這些資料庫被新的資料覆蓋後,這些資料就真的丟失了,
恢復工具也無力回天。所以!以唯讀模式掛載磁碟可以盡量降低資料庫中資料被覆蓋的風險,以提高恢復資料成功的比例。
刪除1.txt
方法1:通過inode恢復
檢視刪除檔案在哪個分割區上
root@dg extundelete-0.2.4]# df -h
檔案系統 容量 已用 可用 已用%% 掛載點
/dev/sda2 44G 3.0G 39G 8% /
tmpfs 1004M 76K 1004M 1% /dev/shm
/dev/sda1 194M 51M 134M 28% /boot
# extundelete /dev/sda4 --inode 2
mkdir test
extundelete /dev/sda4 --restore-inode 8001 檔案號
對比檔案
diff /etc/passwd recover_file/file12
如果沒有任何輸出結果,說明兩個檔案完全一樣
方法2:通過檔名稱進行恢復
extundelete /dev/sdb1 --restore-file passwd
會在當前目錄下生成一個RECOVERED_FILES目錄,裡面儲存已經恢復的檔案
方法3:通過目錄名稱進行恢復
extundelete /dev/sdb1 --restore-directory /mongodb
方法4:恢復所有誤刪檔案:
extundelete /dev/sdb1 --restore-all
extundelete還可以實現恢復某個時間段的資料。可以通過“--after”和“--before”參
不能恢復空檔案和空目錄
方法4:
extundelete /dev/sda4 --restore-all a
extundelete 不能恢復空檔案和空目錄
*********************************************************************************
使用debugfs
用debugfs查詢被刪檔案的inode,再想法恢復。
[root@hs12 ~]# debugfs /dev/sdb1
debugfs 1.41.12 (17-May-2010)
debugfs:
debugfs: lsdel
Inode Owner Mode Size Blocks Time deleted
0 deleted inodes found.
本文永久更新連結地址:http://www.linuxidc.com/Linux/2016-01/127804.htm
相關文章