恢复Linux误删文件
不小心执行了
rm
删除了某些文件,是有点倒霉。不过我一般都会设置alias rm='rm -i'
在删除的时候需要输入Y才能真正删除,当然此时用rm -f
那也会直接删除了。
因此找了两种方案恢复误删的文件。
方法一
适用系统内置debugfs,适用于删除不久,文件inode还存在的方式。
1.往文件中写入数据
root@janbar:~/test# date | md5sum > test
2.查看文件内容
root@janbar:~/test# cat test
462bbd830ae8f1f4ab65bcb644063f11 -
3.删除文件
root@janbar:~/test# rm test
rm: remove regular file 'test'? y
4.查看被删除文件目录属于哪个分区
root@janbar:~/test# df .
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/sda1 57666812 19138652 35575816 35% /
5.执行debugfs工具
root@janbar:~/test# debugfs
debugfs 1.42.13 (17-May-2015)
6.打开分区
debugfs: open /dev/sda1
7.查看目录内容,记得一定是绝对路径,且不能出现 ~ 这种符号
debugfs: ls -d /root/test
2752514 (12) . 2752513 (4084) .. <2759333> (4072) test
<2759335> (4056) test.old
8.将上图被删除文件的inode号按照下面命令执行,必须为 <> 尖括号括起来的才行
debugfs: logdump -i <2759333>
Inode 2759333 is at group 336, block 11010293, offset 512
Journal starts at block 28111, transaction 578064
Found sequence 565491 (not 578175) at block 29094: end of journal.
9.退出调试
debugfs: quit
10.执行如下命令可以恢复文件,bs 为上面的 offset,skip 为上面的 block
root@janbar:~/test# dd if=/dev/sda1 of=/root/test/test.old bs=512 count=1 skip=11010293
1+0 records in
1+0 records out
512 bytes copied, 0.000281056 s, 1.8 MB/s
方法二
grep整个分区,适用inode丢失,且只能是纯文本文件
1.查看被删除文件目录属于哪个分区
root@janbar:~/test# df .
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/sda1 57666812 19138652 35575816 35% /
2.然后使用grep对分区进行搜索,需要记得文档中的某些关键字
grep -a -B 30 -A 150 'func main() {' /dev/sda1 > test.go
其中-a表示把分区看成文本形式(分区本身是二进制形式的)
-B 30 -A 150表示找到搜索的内容就打印前面30行和后面150行
如果分区比较大可能需要一定的搜索时间,完成之后打开test.go
幸运的话你会发现在一堆乱码中镶嵌着你要恢复的本文