用lsof恢复误删的文件

用lsof恢复误删的文件

先介绍一些文件的基本概念, 文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.

proc文件系统可以协助我们恢复数据. 每一个系统上的进程在/proc都有一个目录和自己的名字: 里面包含了一个fd(文件描述符)子目录(进程需要打开文件的所有链接). 如果从文件系统中删除一个文件, 此处还有一个inode的引用:

/proc/进程号/fd/文件描述符

接下来, 你需要知道打开文件的进程号(pid)和文件描述符(fd). 这些都可以通过lsof工具方便获得, lsof的意思是”list open files, 列出(进程)打开的文件”. 然后你将可以从/proc拷贝出需要恢复的数据.

下面介绍在Fedora Core 5系统上使用lsof恢复误删的文件:

环境

主机: 使用微睦独立主机, 一台基于vmware的虚拟独立主机.

系统: Fedora Core 5

内核: 2.6.16-1.2122_FC5

lsof版本:

[zhaoke@fedora5 ~]$ /usr/sbin/lsof -v

lsof version information:

revision: 4.77

预备工作:

如果你的系统没有安装lsof, 可以从作者网站或pbone获得.

作者网站: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/

Pbone: http://rpm.pbone.net/

恢复过程:

首先, 我们需要创建一个文本文件, 删除然后恢复:

[zhaoke@fedora5 ~]$ man lsof | col -b > myfile

然后看一下文件内容:

[zhaoke@fedora5 ~]$ less myfile