使用lsof恢復誤刪的文件

先介紹一些文件的基本概念, 文件實際上是一個指向inode的鏈接, inode鏈接包含了文件的所有屬性, 比如權限和所有者, 數據塊地址(文件存儲在磁盤的這些數據塊中). 當你刪除(rm)一個文件, 實際刪除了指向inode的鏈接, 并沒有刪除inode的內容. 進程可能還在使用. 只有當inode的所有鏈接完全移去, 然后這些數據塊將可以寫入新的數據.

proc文件系統可以協助我們恢復數據. 每一個系統上的進程在/proc都有一個目錄和自己的名字: 里面包含了一個fd(文件描述符)子目錄(進程需要打開文件的所有鏈接). 如果從文件系統中刪除一個文件, 此處還有一個inode的引用:

/proc/進程號/fd/文件描述符

接下來, 你需要知道打開文件的進程號(pid)和文件描述符(fd). 這些都可以通過lsof工具方便獲得, lsof的意思是”list open files, 列出(進程)打開的文件”. 然后你將可以從/proc拷貝出需要恢復的數據.

下面介紹在Fedora Core 5系統上使用lsof恢復誤刪的文件:

環境

主機: 使用微睦獨立主機, 一臺基于vmware的虛擬獨立主機.

系統: Fedora Core 5

內核: 2.6.16-1.2122_FC5

lsof版本:

[zhaoke@fedora5 ~]$ /usr/sbin/lsof -v

lsof version information:

revision: 4.77

預備工作:

如果你的系統沒有安裝lsof, 可以從作者網站或pbone獲得.

作者網站: ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/

Pbone: http://rpm.pbone.net/

恢復過程:

首先, 我們需要創建一個文本文件, 刪除然后恢復:

[zhaoke@fedora5 ~]$ man lsof | col -b > myfile

然后看一下文件內容:

[zhaoke@fedora5 ~]$ less myfile

你可以看到lsof所有的文本幫助信息.

現在按Ctrl-Z退出less命令, 然后在shell提示符下查看文件屬性信息:

[zhaoke@fedora5 ~]$ stat myfile

File: `myfile’

Size: 116549 Blocks: 240 IO Block: 4096 regular file

Device: fd00h/64768d Inode: 492686 Links: 1

Access: (0664/-rw-rw-r–) Uid: ( 505/ zhaoke) Gid: ( 505/ zhaoke)

Access: 2006-11-20 12:59:38.000000000 +0800

Modify: 2006-11-20 12:59:34.000000000 +0800

Change: 2006-11-20 12:59:34.000000000 +0800

沒問題, 繼續下面工作:

[zhaoke@fedora5 ~]$ rm myfile

[zhaoke@fedora5 ~]$ ls -l myfile

ls: myfile: No such file or directory

[zhaoke@fedora5 ~]$ stat myfile

stat: cannot stat `myfile’: No such file or directory

myfile文件刪除了.

這時候, 你不要終止仍在使用文件的進程. 因為一旦終止, 文件將很難恢復.

現在我們開始找回數據, 首先用lsof查看一下:

[zhaoke@fedora5 ~]$ lsof | grep myfile

less 9104 zhaoke 4r REG 253,0 116549 492686 /home/zhaoke/myfile (deleted)

第一個縱行是進程的名稱(命令名), 第二縱行是進程號(PID), 第四縱行是文件描述符(r意思是普通文件), 現在你知道9104進程仍有打開文件, 文件描述符是4. 那我們開始從/proc里面拷貝出數據. 你可能會考慮使用cp -a, 但實際上沒有作用, 你將拷貝的是一個指向被刪除文件的符號鏈接:

[zhaoke@fedora5 ~]$ ls -l /proc/9104/fd/4

lr-x—— 1 zhaoke zhaoke 64 Nov 20 13:00 /proc/9104/fd/4 -> /home/zhaoke/myfile (deleted)

[zhaoke@fedora5 ~]$ cp -a /proc/9104/fd/4 myfile.wrong

[zhaoke@fedora5 ~]$ ls -l myfile.wrong

lrwxrwxrwx 1 zhaoke zhaoke 29 Nov 20 13:02 myfile.wrong -> /home/zhaoke/myfile (deleted)

[zhaoke@fedora5 ~]$ file myfile.wrong

myfile.wrong: broken symbolic link to `/home/zhaoke/myfile (deleted)’

[zhaoke@fedora5 ~]$ file /proc/9104/fd/4

/proc/9104/fd/4: broken symbolic link to `/home/zhaoke/myfile (deleted)’

然后, 使用cp拷貝出數據:

[zhaoke@fedora5 ~]$ cp /proc/9104/fd/4 myfile.saved

最后, 確認一下文件:

[zhaoke@fedora5 ~]$ ls -l myfile.saved

-rw-rw-r– 1 zhaoke zhaoke 116549 Nov 20 13:03 myfile.saved

[zhaoke@fedora5 ~]$ man lsof | col -b > myfile.new

[zhaoke@fedora5 ~]$ cmp myfile.saved myfile.new

cmp比較無任何顯示, 表示兩個文件完全相同, 恢復成功.