Linux文件误删之后恢复方法

前言

今天不小心把一个文件给误删了，因为不想花半天时间重新写，就查找了一下Linux下恢复文件的方法。

因为是刚删不久，文件实际的数据应该还在

 

首先查看系统分区

Linux:~# df
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/sda1              1968417    463571   1504846  24% /
tmpfs                    16384         4     16380   1% /var/lib/php5
tmpfs                    16384        40     16344   1% /var/run
tmpfs                   131072         4    131068   1% /tmp
ssl_service             262144         0    262144   0% /kssl/HRP/cache

 

使用系统自带工具debugfs进行修复

打开删除的文件所在的分区

Linux:~# debugfs
debugfs 1.37 (21-Mar-2005)
debugfs:  open /dev/sda1

 

用ls -d查看刚刚删除的文件所在的目录

如果列表中有我们要找的文件，尖括号<>中是对应的inode号

debugfs:  ls -d /root/rand-test
 180331  (12) .    180225  (12) ..    180333  (16) assess
 180334  (32) experiments   <180451> (12) 4913    180358  (32) data
<180451> (20) .1.swp    180359  (68) periodtest.sh
<180337> (44) .singletest.input.swp    180451  (24) periodtest.input
 180356  (828) singletest.input   <180366> (32) .periodtest.input.swp
<180375> (748) .singletest.input.swp   <180338> (716) periodtest.input~

 

查看inode的日志文件

debugfs: logdump -i <180338>
Inode 180338 is at group 176, block 1441809, offset 128
Journal starts at block 3434, transaction 90549
FS block 1441809 logged at sequence 90622, journal block 3950

...

 

quit退出debugfs，使用dd命令进行恢复，bs为前面得到的offset，skip为前面得到的block

debugfs:  quit
Linux:~/rand-test# dd if=/dev/sda1 of=/root/rand-test/periodtest.input~ bs=128 count=1 skip=1441809
1+0 records in
1+0 records out
128 bytes transferred in 0.000081 seconds (1582468 bytes/sec)

 

遗憾的是，我要恢复的文件已经不在了

好在对于文本文件还有另一种方法，使用grep

 

第一步同样是找到文件所在的分区

 

然后使用grep对分区进行搜索，只要你记得文档中的某些关键字

grep -a -B 30 -A 150 'function checkInt() ' /dev/sda1 > tmp.txt

其中-a表示把分区看成文本形式(分区本身是二进制形式的)，-B 30 -A 150表示找到搜索的内容就打印前面30行和后面150行

如果分区比较大可能需要一定的搜索时间，完成之后打开tmp.txt，你会发现在一堆乱码中镶嵌着你要恢复的本文

 

至此，大功告成，总结

使用debugfs的方法适用于所有文件，不过需要inode信息仍然存在。使用grep的方法，只需要实际的block中数据还存在即可恢复，不过只适用于文本文件。

另外，切记rm需谨慎