linux ext2 文件系统恢复被删除的文件
2010-02-07 11:28
369 查看
linux ext2 文件系统恢复被删除的文件
发布日期:2002-08-08
文章内容:
------------------------------------------------------------------------
--------
by deepin@nsfocus.com
http://www.nsfocus.com
来源于一次紧急响应,客户通过foxmail收取了qmail 邮件服务器上的100多封邮件
后删除了,
但是发现这些邮件很重要,求助我们在邮件服务器上进行恢复。
由于是远程数据恢复,只能通过网络进行,不可能做到像传统数据恢复那样卸下硬
盘,先全盘
拷贝备份(实际工作中,几乎没有这样的条件),再mount成只读进行恢复等等步
骤。只能根据现有的条件进行。
分区状况不是很好,只是把把硬盘分为了/boot /两个分区,邮件系统在
/var/qmail下,实际
上也在/分区
距离被删除已经2-3个小时,邮件系统又一直在工作,删除以后想要100%恢复这些
邮件,除非上
帝保佑。我也只能尽尽人道。
首先把邮件系统停止,主要是他们的smtp服务(主要是那些可能写盘的内容),然
后选择工具进行恢复
目前有如下工具可以在linux下使用进行文件恢复
http://www.fish.com/tct/
可以在多种unix操作系统的不同文件分区类型上进行恢复(当然效果并不一样),
包括ufs,ffs,ex2等。
功能最强大,体积也最庞大,操作也最麻烦。
http://recover.sourceforge.net/linux/recover/
功能单一,使用比较方便
http://e2undel.sourceforge.net
http://unc.dl.sourceforge.net/sourceforge/e2undel/e2undel-0.8.tgz
有一个可作一定操作选择的交互界面,这个工具需要安装一个e2undel的运行库,
如果
需要恢复的文件在/usr所在地分区上,最好不用,免得安装它以后进一步破坏了待
恢复的
文件(当然可以把运行库它安装到其他文件系统,但是根据它的安装要求,还比较
麻烦)。
unrm
http://packetstormsecurity.com/UNIX/utilities/unrm-0.92.tar.gz
一个小工具,实际上使用了linux下的debugfs命令,简化了手工使用debugfs的步
骤,
没有什么交互的界面,恢复的文件直接放倒一个固定目录下面
根据这一次的情况,那些体积庞大,需要安装的工具不在选择范围。我使用了
unrm,为了
不破坏数据盘内容,我把这个小工具放倒/boot区展开.假设我们需要恢复的是
aaa
这个用户的邮件
这个用户的邮件
修改一下这个脚本中mount的路径(原来是/usr/sbin/mount ,这个系统是
/usr/bin)
看看/所在地分区设备为 /dev/sda2
./unrm /dev/sda2 -u qmail -s aaa
恢复用户qmail被删除的文件,文件中有aaa这个字符串。
实际发现这个-s参数没有作用
使用./unrm /dev/sda2 -u qmail 后,自动在当前目录下生了一个unrm.recover的
目录
各个被恢复的文件以unrm.xxxxxx 方式存放在里面
经过过滤
grep aaa * | cut -d : -f 1 | uniq
找到这些文件名,然后cp到原来的qmail邮件用目录中(Maildir/new)
这次的结果是恢复了35个文件,但是有4个已经基本被破坏了,完整恢复的只有31
个
试着收取邮件,一切正常。
从这次恢复工作来看,在linux的ex2文件系统下恢复,比以前在solairs下恢复
ufs系统要
使用./unrm /dev/sda2 -u qmail 后,自动在当前目录下生了一个unrm.recover的
方便很多,主要ufs在删除以后,各个文件区块都没有链接关系,而ex2有点类似与
fat系统,小文件只是丢失了第一个区块的inode号,后面的区块还是有链接关系的
,大的文件好像在一定数目的区块后,才没有链接关系。
在ufs下恢复文件,可能还是tct相对效果要好一些。
欢迎访问我们的站点http://www.nsfocus.com/
绿盟科技给您安全的保障
-----------------------------------------------------
http://www.linuxidc.com/Linux/2008-08/14744.htm
对于rm,很多人都有惨痛的教训。我也遇到一次,一下午写的程序就被rm掉了,幸好只是一个文件,第二天很快又重新写了一遍。但是很多人可能就不像我这么幸运了。本文收集了一些在Linux下恢复rm删除的文件的方法,给大家作为参考。
首先,最好的方法是避免这个问题,以下是几点建议:
1、rm -rf误操作的后果是可怕的,rm -f也要三思而行,不能轻易使用。
2、做好数据备份。
3、用一些策略避免出错:
提倡在shell下用 TAB 补全,用脚本执行任务,减少出错的机会。或者编写一个脚本,起名rm,在脚本里将真实的rm改为mv ,将删除的都mv到一个指定的目录里面,定期清理。
那么rm删除的文件还能恢复吗?
rm的man里面有如下说法:
请注意,如果使用 rm 来删除文件,通常仍可以将该文件恢复原状。如果想保证该文件的内容无法还原,请考虑使用 shred。
所以理论上rm删除的文件是还能恢复的。删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm误删除文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
通常我们可以有以下几种选择:
1、借助工具。
2、自己写程序。你需要会编程并了解对应的文件系统。
3、如果数据很有用,也许可以找专业公司抢救。
工具
1、The Sleuth Kit http://www.sleuthkit.org/sleuthkit/(Autopsy是它的一个图形前端)
2、Foremost http://foremost.sourceforge.net
3、一个全能的工具,Finaldata,可以恢复unix/linux/dos下误删的文件。对于unix,支持这些产品, Solaris、AIX和HP-UX。对于linux,支持EXT2的文件系统。对于dos,支持FAT 12/16/32, NTFS 4/5/5.1 的文件系统。
4、如果文件系统是ext2(对ext3无效):
ext3的删除机制是直接把 inode data 删除了,所以造成 ext3 无法反删除(ext3设计为无法恢复被删除的文件)。
unrm
ext2ed
debugfs(undel lsdel )
recover
Midnight Commander(mc)
e2undel
tct
5、如果文件系统是FAT32或者NTFS:
EasyRecovery
Finaldata
6、freebsd如果使用了rm,可以试一下undelete这个命令.
7、当进程打开了某个文件时,只要该进程保持打开该文件,lsof可以用来恢复删除文件。
发布日期:2002-08-08
文章内容:
------------------------------------------------------------------------
--------
by deepin@nsfocus.com
http://www.nsfocus.com
来源于一次紧急响应,客户通过foxmail收取了qmail 邮件服务器上的100多封邮件
后删除了,
但是发现这些邮件很重要,求助我们在邮件服务器上进行恢复。
由于是远程数据恢复,只能通过网络进行,不可能做到像传统数据恢复那样卸下硬
盘,先全盘
拷贝备份(实际工作中,几乎没有这样的条件),再mount成只读进行恢复等等步
骤。只能根据现有的条件进行。
分区状况不是很好,只是把把硬盘分为了/boot /两个分区,邮件系统在
/var/qmail下,实际
上也在/分区
距离被删除已经2-3个小时,邮件系统又一直在工作,删除以后想要100%恢复这些
邮件,除非上
帝保佑。我也只能尽尽人道。
首先把邮件系统停止,主要是他们的smtp服务(主要是那些可能写盘的内容),然
后选择工具进行恢复
目前有如下工具可以在linux下使用进行文件恢复
http://www.fish.com/tct/
可以在多种unix操作系统的不同文件分区类型上进行恢复(当然效果并不一样),
包括ufs,ffs,ex2等。
功能最强大,体积也最庞大,操作也最麻烦。
http://recover.sourceforge.net/linux/recover/
功能单一,使用比较方便
http://e2undel.sourceforge.net
http://unc.dl.sourceforge.net/sourceforge/e2undel/e2undel-0.8.tgz
有一个可作一定操作选择的交互界面,这个工具需要安装一个e2undel的运行库,
如果
需要恢复的文件在/usr所在地分区上,最好不用,免得安装它以后进一步破坏了待
恢复的
文件(当然可以把运行库它安装到其他文件系统,但是根据它的安装要求,还比较
麻烦)。
unrm
http://packetstormsecurity.com/UNIX/utilities/unrm-0.92.tar.gz
一个小工具,实际上使用了linux下的debugfs命令,简化了手工使用debugfs的步
骤,
没有什么交互的界面,恢复的文件直接放倒一个固定目录下面
根据这一次的情况,那些体积庞大,需要安装的工具不在选择范围。我使用了
unrm,为了
不破坏数据盘内容,我把这个小工具放倒/boot区展开.假设我们需要恢复的是
aaa
这个用户的邮件
这个用户的邮件
修改一下这个脚本中mount的路径(原来是/usr/sbin/mount ,这个系统是
/usr/bin)
看看/所在地分区设备为 /dev/sda2
./unrm /dev/sda2 -u qmail -s aaa
恢复用户qmail被删除的文件,文件中有aaa这个字符串。
实际发现这个-s参数没有作用
使用./unrm /dev/sda2 -u qmail 后,自动在当前目录下生了一个unrm.recover的
目录
各个被恢复的文件以unrm.xxxxxx 方式存放在里面
经过过滤
grep aaa * | cut -d : -f 1 | uniq
找到这些文件名,然后cp到原来的qmail邮件用目录中(Maildir/new)
这次的结果是恢复了35个文件,但是有4个已经基本被破坏了,完整恢复的只有31
个
试着收取邮件,一切正常。
从这次恢复工作来看,在linux的ex2文件系统下恢复,比以前在solairs下恢复
ufs系统要
使用./unrm /dev/sda2 -u qmail 后,自动在当前目录下生了一个unrm.recover的
方便很多,主要ufs在删除以后,各个文件区块都没有链接关系,而ex2有点类似与
fat系统,小文件只是丢失了第一个区块的inode号,后面的区块还是有链接关系的
,大的文件好像在一定数目的区块后,才没有链接关系。
在ufs下恢复文件,可能还是tct相对效果要好一些。
欢迎访问我们的站点http://www.nsfocus.com/
绿盟科技给您安全的保障
-----------------------------------------------------
http://www.linuxidc.com/Linux/2008-08/14744.htm
对于rm,很多人都有惨痛的教训。我也遇到一次,一下午写的程序就被rm掉了,幸好只是一个文件,第二天很快又重新写了一遍。但是很多人可能就不像我这么幸运了。本文收集了一些在Linux下恢复rm删除的文件的方法,给大家作为参考。
首先,最好的方法是避免这个问题,以下是几点建议:
1、rm -rf误操作的后果是可怕的,rm -f也要三思而行,不能轻易使用。
3、用一些策略避免出错:
提倡在shell下用 TAB 补全,用脚本执行任务,减少出错的机会。或者编写一个脚本,起名rm,在脚本里将真实的rm改为mv ,将删除的都mv到一个指定的目录里面,定期清理。
那么rm删除的文件还能恢复吗?
rm的man里面有如下说法:
请注意,如果使用 rm 来删除文件,通常仍可以将该文件恢复原状。如果想保证该文件的内容无法还原,请考虑使用 shred。
所以理论上rm删除的文件是还能恢复的。删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm误删除文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
通常我们可以有以下几种选择:
1、借助工具。
2、自己写程序。你需要会编程并了解对应的文件系统。
3、如果数据很有用,也许可以找专业公司抢救。
工具
1、The Sleuth Kit http://www.sleuthkit.org/sleuthkit/(Autopsy是它的一个图形前端)
2、Foremost http://foremost.sourceforge.net
3、一个全能的工具,Finaldata,可以恢复unix/linux/dos下误删的文件。对于unix,支持这些产品, Solaris、AIX和HP-UX。对于linux,支持EXT2的文件系统。对于dos,支持FAT 12/16/32, NTFS 4/5/5.1 的文件系统。
4、如果文件系统是ext2(对ext3无效):
ext3的删除机制是直接把 inode data 删除了,所以造成 ext3 无法反删除(ext3设计为无法恢复被删除的文件)。
unrm
ext2ed
debugfs(undel lsdel )
recover
Midnight Commander(mc)
e2undel
tct
5、如果文件系统是FAT32或者NTFS:
EasyRecovery
Finaldata
6、freebsd如果使用了rm,可以试一下undelete这个命令.
7、当进程打开了某个文件时,只要该进程保持打开该文件,lsof可以用来恢复删除文件。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Linux EXT3文件系统下成功恢复误删的文件
- linux/unix文件系统的备份和恢复
- Linux运维笔记-文档总结-系统恢复技术之内核文件缺少恢复技术
- 【转载】----Linux下使用ext3grep恢复目录及文件指南(ext3文件系统)
- linux/unix文件系统的备份和恢复
- linux文件系统恢复
- Linux - EXT2文件系统
- linux下,如何恢复ext文件系统下删除的文件
- linux内核之ext2文件系统
- Linux EXT3文件系统下成功恢复误删的文件
- 查看linux的文件系统是什么格式的(如ext2,ext3,xfs等)?
- Linux系统中对Ext4文件系统删除后恢复
- 在 Linux 系统下使用 PhotoRec & TestDisk 工具来恢复文件
- 【Linux】Linux文件被删除后的恢复方法
- 实例:Linux EXT3文件系统下成功恢复误删的文件
- 如何恢复 Linux 上删除的文件:ext2
- Linux中的Ext2文件系统
- EXT2文件系统(数据恢复相关)
- linux系统误删文件怎么办!使用extundelete恢复数据
- Linux文件系统的恢复方法