Linux的rm删除时最好先做备份,否则真是要不得,很多人工程师在rm时左看右看得过个半分钟才敢下手,或者多次Tab确认无误,手快的后果就是 后悔,肠子都悔青了。
上次更新一篇,主要是在Ext3系统格式下恢复rm -rf误删除的数据,那么本次我们介绍一下其他的数据恢复工具,以下恢复方法适用于ext4文件系统。
extundelete的恢复原理
在介绍使用extundelete进行恢复数据之前,简单介绍下关于inode的知识。在Linux下可以通过“ls –id”命令来查看某个文件或者目录的inode值,例如查看根目录的inode值,可以输入:
# ls -id /
由此可知,根目录的inode值为2。
在利用extundelete恢复文件时并不依赖特定文件格式,首先extundelete会通过文件系统的inode信息(根目录的inode一般为2)来获得当前文件系统下所有文件的信息,包括存在的和已经删除的文件,这些信息包括文件名和inode。然后利用inode信息结合日志去查询该inode所在的block位置,包括直接块,间接块等信息。最后利用dd命令将这些信息备份出来,从而恢复数据文件。
安装extundelete
yum install e2fsprogs-devel
yum install e2fsprogs
extundelete的编译安装过程:
tar jxvf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make & make install
使用方法:
成功安装extundelete后,会生成一个extundelete可执行文件。extundelete的使用非常简单,可以通过“extundelete --help”获得帮助。
extundelete --help
命令格式:
extundelete [options] [action] device-file
其中参数(options)有:
--version, -[vV],显示软件版本号。
--help,显示软件帮助信息。
--superblock,显示超级块信息。
--journal,显示日志信息。
--after dtime,时间参数,表示在某段时间之后被删的文件或目录。
--before dtime,时间参数,表示在某段时间之前被删的文件或目录。
动作(action)有:
--inode ino,显示节点“ino”的信息。
--block blk,显示数据块“blk”的信息。
--restore-inode ino[,ino,...],恢复命令参数,表示恢复节点“ino”的文件,恢复的文件会自动放在当前目录下的RESTORED_FILES文件夹中,使用节点编号作为扩展名。
--restore-file 'path',恢复命令参数,表示将恢复指定路径的文件,并把恢复的文件放在当前目录下的RECOVERED_FILES目录中。
--restore-files 'path',恢复命令参数,表示将恢复在路径中已列出的所有文件。
--restore-all,恢复命令参数,表示将尝试恢复所有目录和文件。
-j journal,表示从已经命名的文件中读取扩展日志。
-b blocknumber,表示使用之前备份的超级块来打开文件系统,一般用于查看现有超级块是不是当前所要的文件。
-B blocksize,表示使用数据块大小来打开文件系统,一般用于查看已经知道大小的文件。
通过extundelete恢复单个文件
1.模拟数据误删除环境
在演示通过extundelete恢复数据之前,我们首先要模拟一个数据误删除环境,这里我们以ext3文件系统为例,在ext4文件系统下的恢复方式与此完全一样。
模拟误删除场景:
cd data
ls tuohui.txt th.sh
rm -rf /data/*
恢复数据步骤如下:
1、卸载磁盘分区
在将数据误删除后,立刻需要做的就是卸载这块磁盘分区:
cd /mnt
umount /data
2、查询可恢复的数据
通过extundelete命令可以查询/dev/sdb1分区可恢复的数据信息:
extundelete /dev/sdb1 --inode 2
File name | Inode number | Deleted status
lost+found 11 Deleted
tuohui.txt 49153 Deleted
th.sh 425985 Deleted
根据上面的输出,标记为Deleted状态的是已经删除的文件或目录。同时还可以看到每个已删除文件的inode值,接下来就可以恢复文件了。
4.恢复单个文件
执行如下命令开始恢复文件:
extundelete /dev/sdb1 --restore-file tuohui.txt
Loading filesystem metadata ... 40 groups loaded.
Loading journal deors ... 54 deors loaded.
Successfully restored file tuohui.txt
cd RECOVERED_FILES/
ls
tuohui.txt
注意:
在文件恢复成功后,extundelete命令默认会在执行命令的当前目录下创建一个RECOVERED_FILES目录,此目录用于存放恢复出来的文件,所以执行extundelete命令的当前目录必须是可写的。
待更新:
本次更新了如何通过extundelete 命令恢复一个文件,明日更新会讲述如何使用extundelete 命令恢复一个目录,请关注本企鹅号。
如果觉得对你有帮助,烦请转发让更多有需要的人看到,谢谢。
你也可以留言,提建议,你想看到的内容,有求必应。
