使用lsof恢復(fù)誤刪的文件

先介紹一些文件的基本概念, 文件實(shí)際上是一個(gè)指向inode的鏈接, inode鏈接包含了文件的所有屬性, 比如權(quán)限和所有者, 數(shù)據(jù)塊地址(文件存儲(chǔ)在磁盤(pán)的這些數(shù)據(jù)塊中). 當(dāng)你刪除(rm)一個(gè)文件, 實(shí)際刪除了指向inode的鏈接, 并沒(méi)有刪除inode的內(nèi)容. 進(jìn)程可能還在使用. 只有當(dāng)inode的所有鏈接完全移去, 然后這些數(shù)據(jù)塊將可以寫(xiě)入新的數(shù)據(jù).

proc文件系統(tǒng)可以協(xié)助我們恢復(fù)數(shù)據(jù). 每一個(gè)系統(tǒng)上的進(jìn)程在/proc都有一個(gè)目錄和自己的名字: 里面包含了一個(gè)fd(文件描述符)子目錄(進(jìn)程需要打開(kāi)文件的所有鏈接). 如果從文件系統(tǒng)中刪除一個(gè)文件, 此處還有一個(gè)inode的引用:

/proc/進(jìn)程號(hào)/fd/文件描述符

接下來(lái), 你需要知道打開(kāi)文件的進(jìn)程號(hào)(pid)和文件描述符(fd). 這些都可以通過(guò)lsof工具方便獲得, lsof的意思是”list open files, 列出(進(jìn)程)打開(kāi)的文件”. 然后你將可以從/proc拷貝出需要恢復(fù)的數(shù)據(jù).

下面介紹在Fedora Core 5系統(tǒng)上使用lsof恢復(fù)誤刪的文件:

環(huán)境

主機(jī): 使用微睦獨(dú)立主機(jī), 一臺(tái)基于vmware的虛擬獨(dú)立主機(jī).

系統(tǒng): Fedora Core 5

內(nèi)核: 2.6.16-1.2122_FC5

lsof版本:

[zhaoke@fedora5 ~]$ /usr/sbin/lsof -v

lsof version information:

revision: 4.77

預(yù)備工作:

如果你的系統(tǒng)沒(méi)有安裝lsof, 可以從作者網(wǎng)站或pbone獲得.

作者網(wǎng)站: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/

Pbone: http://rpm.pbone.net/

恢復(fù)過(guò)程:

首先, 我們需要?jiǎng)?chuàng)建一個(gè)文本文件, 刪除然后恢復(fù):

[zhaoke@fedora5 ~]$ man lsof | col -b > myfile

然后看一下文件內(nèi)容:

[zhaoke@fedora5 ~]$ less myfile

你可以看到lsof所有的文本幫助信息.

現(xiàn)在按Ctrl-Z退出less命令, 然后在shell提示符下查看文件屬性信息:

[zhaoke@fedora5 ~]$ stat myfile

File: `myfile’

Size: 116549 Blocks: 240 IO Block: 4096 regular file

Device: fd00h/64768d Inode: 492686 Links: 1

Access: (0664/-rw-rw-r–) Uid: ( 505/ zhaoke) Gid: ( 505/ zhaoke)

Access: 2006-11-20 12:59:38.000000000 +0800

Modify: 2006-11-20 12:59:34.000000000 +0800

Change: 2006-11-20 12:59:34.000000000 +0800

沒(méi)問(wèn)題, 繼續(xù)下面工作:

[zhaoke@fedora5 ~]$ rm myfile

[zhaoke@fedora5 ~]$ ls -l myfile

ls: myfile: No such file or directory

[zhaoke@fedora5 ~]$ stat myfile

stat: cannot stat `myfile’: No such file or directory

myfile文件刪除了.

這時(shí)候, 你不要終止仍在使用文件的進(jìn)程. 因?yàn)橐坏┙K止, 文件將很難恢復(fù).

現(xiàn)在我們開(kāi)始找回?cái)?shù)據(jù), 首先用lsof查看一下:

[zhaoke@fedora5 ~]$ lsof | grep myfile

less 9104 zhaoke 4r REG 253,0 116549 492686 /home/zhaoke/myfile (deleted)

第一個(gè)縱行是進(jìn)程的名稱(chēng)(命令名), 第二縱行是進(jìn)程號(hào)(PID), 第四縱行是文件描述符(r意思是普通文件), 現(xiàn)在你知道9104進(jìn)程仍有打開(kāi)文件, 文件描述符是4. 那我們開(kāi)始從/proc里面拷貝出數(shù)據(jù). 你可能會(huì)考慮使用cp -a, 但實(shí)際上沒(méi)有作用, 你將拷貝的是一個(gè)指向被刪除文件的符號(hào)鏈接:

[zhaoke@fedora5 ~]$ ls -l /proc/9104/fd/4

lr-x—— 1 zhaoke zhaoke 64 Nov 20 13:00 /proc/9104/fd/4 -> /home/zhaoke/myfile (deleted)

[zhaoke@fedora5 ~]$ cp -a /proc/9104/fd/4 myfile.wrong

[zhaoke@fedora5 ~]$ ls -l myfile.wrong

lrwxrwxrwx 1 zhaoke zhaoke 29 Nov 20 13:02 myfile.wrong -> /home/zhaoke/myfile (deleted)

[zhaoke@fedora5 ~]$ file myfile.wrong

myfile.wrong: broken symbolic link to `/home/zhaoke/myfile (deleted)’

[zhaoke@fedora5 ~]$ file /proc/9104/fd/4

/proc/9104/fd/4: broken symbolic link to `/home/zhaoke/myfile (deleted)’

然后, 使用cp拷貝出數(shù)據(jù):

[zhaoke@fedora5 ~]$ cp /proc/9104/fd/4 myfile.saved

最后, 確認(rèn)一下文件:

[zhaoke@fedora5 ~]$ ls -l myfile.saved

-rw-rw-r– 1 zhaoke zhaoke 116549 Nov 20 13:03 myfile.saved

[zhaoke@fedora5 ~]$ man lsof | col -b > myfile.new

[zhaoke@fedora5 ~]$ cmp myfile.saved myfile.new

cmp比較無(wú)任何顯示, 表示兩個(gè)文件完全相同, 恢復(fù)成功.