菜单

manbetx网页手机登录版extundelete linux数据恢复生机工具

2019年6月8日 - UNIXSolaris

在Linux下,基于开源的数据苏醒工具有众多,常见的有debugfs、Rubicon-Linux、ext叁grep、extundelete等,相比较常用的有ext三grep和extundelete,这多个工具的过来原理基本均等,只是extundelete功能更加强大,本文着重介绍
 
 
**************************************************
  *          lsof 格局复苏                        *
 
**************************************************
                    lsof
  文件刚刚被去除,想要恢复,先品尝lsof.
  #lsof |grep data.file1
  # cp /proc/xxx/xxx/xx  /dir/data.file1
 
  或者ps -ef
 
 
**************************************************
  *          extundelete 方式苏醒                *
 
**************************************************
 
 
第有时间要做的就是卸载被删除数据所在的分区,假使是根分区的数码遭到误删
 
 
 yum install gcc gcc++
 yum install gcc gcc-c++ gcc-g77

一、介绍extundelete

yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel
[root@dg extundelete-0.2.4]# ./configure
Configuring extundelete 0.2.4
Writing generated files to disk

        
一.extundelete的文件恢复生机工具,该工具最给力的一点正是协助ext3/ext四双格式分区恢复生机。

tar xjf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4
./configure
make && make install

         2.
在实际线上过来进程中,切勿将extundelete安装到你误删的文本所在硬盘,那样会有必然概率将索要还原的多寡到底覆盖。

[root@dg extundelete-0.2.4]# make
make -s all-recursive
Making all in src
extundelete.cc:57一: 警告:未选用的参数‘flags’
[root@dg extundelete-0.2.4]# make install
Making install in src
  /usr/bin/install -c extundelete ‘/usr/local/bin’
 
 

         三.
extundelete如故有一点都不小的不完整性,基于整个磁盘的死灰复燃作用较为强劲,基于目录和文件的复苏还非常不够有力。

—查看补助
root@dg extundelete-0.2.4]# make install
Making install in src
  /usr/bin/install -c extundelete ‘/usr/local/bin’
[root@dg extundelete-0.2.4]# extundelete –help
Usage: extundelete [options] [–] device-file
Options:
  –version, -[vV]      Print version and exit successfully.
  –help,                Print this help and exit successfully.
  –superblock          Print contents of superblock in addition to the
rest.
                        If no action is specified then this option is
implied.
  –journal              Show content of journal.
  –after dtime          Only process entries deleted on or after
‘dtime’.
  –before dtime        Only process entries deleted before ‘dtime’.
Actions:
  –inode ino            Show info on inode ‘ino’.
  –block blk            Show info on block ‘blk’.
  –restore-inode ino[,ino,…]
                        Restore the file(s) with known inode number
‘ino’.
                        The restored files are created in
./RECOVERED_FILES
                        with their inode number as extension (ie,
file.12345).
  –restore-file ‘path’  Will restore file ‘path’. ‘path’ is relative to
root
                        of the partition and does not start with a ‘/’
                        The restored file is created in the current
                        directory as ‘RECOVERED_FILES/path’.
  –restore-files ‘path’ Will restore files which are listed in the file
‘path’.
                        Each filename should be in the same format as an
option
                        to –restore-file, and there should be one per
line.
  –restore-directory ‘path’
                        Will restore directory ‘path’. ‘path’ is
relative to the
                        root directory of the file system.  The
restored
                        directory is created in the output directory as
‘path’.
  –restore-all          Attempts to restore everything.
  -j journal            Reads an external journal from the named file.
  -b blocknumber        Uses the backup superblock at blocknumber when
opening
                        the file system.
  -B blocksize          Uses blocksize as the block size when opening
the file
                        system.  The number should be the number of
bytes.
  –log 0                Make the program silent.
  –log filename        Logs all messages to filename.
–log D1=0,D2=filename  Custom control of log messages with
comma-separated
  Examples below:      list of options.  Dn must be one of info, warn,
or
  –log info,error      error.  Omission of the ‘=name’ results in
messages
  –log warn=0          with the specified level to be logged to the
console.
  –log error=filename  If the parameter is ‘=0’, logging for the
specified
                        level will be turned off.  If the parameter is
                        ‘=filename’, messages with that level will be
written
                        to filename.
  -o directory          Save the recovered files to the named
directory.
                        The restored files are created in a directory
                        named ‘RECOVERED_FILES/’ by default.

         四.
extundelete实施完结后在当前目录生产一个RECOVERED_FILES目录,里面便是复苏出来的文书,还包罗文件夹。

中参数(options)有:
–version, -[vV],呈现软件版本号。
–help,突显软件支持音讯。
–superblock,展现一流块音讯。
–journal,展现日志信息。
–after dtime,时间参数,表示在某段时间以往被删的文件或目录。
–before dtime,时间参数,表示在某段时间在此以前被删的文件或目录。

        
5.别的的文件苏醒工具,在行使前,均要就要过来的分区卸载或挂载为只读,幸免数据被覆盖使用。

动作(action)有:
–inode ino,展现节点“ino”的信息。
–block blk,展现数据块“blk”的新闻。
–restore-inode
ino[,ino,…],苏醒命令参数,表示恢复节点“ino”的公文,苏醒的公文会自行放在当前目录下的RESTORED_FILES文件夹中,使用节点编号作为扩张名。
–restore-file
‘path’,苏醒命令参数,表示将卷土而来钦命路径的公文,并把复苏的文件放在当前目录下的RECOVERED_FILES目录中。
–restore-files
‘path’,恢复生机命令参数,表示将出山小草在门路中已列出的有所文件。
–restore-all,苏醒命令参数,表示将尝试恢复全数目录和文件。
-j journal,表示从已经命名的公文中读取扩大日志。
-b
blocknumber,表示使用从前备份的超级块来展开文件系统,一般用来查看现存一流块是否日前所要的文件。
-B
blocksize,表示使用数据块大小来开发文件系统,一般用于查看已经驾驭大小的文书。

          umount /dev/partition 

  一>fuser -k /dev/part  && umount /dev/被删除数据的盘 
–杀掉访问磁盘的经过,umount 被剔除数据的盘
  二>extundelete –inode 二  /dev/被删除数据的盘
  三>extundelete –restore-inode 一三 /dev/被删去数据的盘
  4>恢复到 RECOVERD_FILES/
 
 
在数码被误删除后,第有时间要做的就是卸载被删去数据所在的分区,若是是根分区的数量遭到误删,
就须求将系统进入单用户方式,并且将根分区以只读方式挂载。那样做的原故很轻巧,因为将文件删除后,
偏偏是将文件的inode节点中的扇区指针清零,实际文件还积存在磁盘上,如若磁盘继续以读写方式挂载,
那么些已删除的文本的数量块就或然被操作系统重新分配出去,在这一个数据库被新的数目覆盖后,那几个数据就实在丢失了,
重作冯妇工具也无从。所以!以只读格局挂载磁盘能够不择手段下降数据库中多少被掩盖的风险,以巩固复苏数据成功的百分比。

          mount -o remount,ro /dev/partition

删除1.txt

         陆.保持卓绝的习于旧贯,绝相比复苏数据要更简约。

方法1:通过inode恢复
查阅删除文件在哪些分区上
root@dg extundelete-0.2.4]# df -h
文件系统      体量  已用  可用 已用%% 挂载点
/dev/sda2              44G  3.0G  39G  8% /
tmpfs                1004M  76K 1004M  1% /dev/shm
/dev/sda1            194M  51M  134M  28% /boot
# extundelete  /dev/sda4 –inode 2
mkdir test

二、安装

extundelete  /dev/sda4  –restore-inode  8001  文件号

         0.yum install e2fsprogs* e2fslibs* -y

对照文件
diff /etc/passwd recover_file/file12
假诺未有别的输出结果,表达三个文本完全平等

         1.wget
http://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

方法二:通过文件名称举办回复
extundelete  /dev/sdb1 –restore-file passwd
会在当前目录下生成3个RECOVERED_FILES目录,里面保存已经还原的公文

         2.tar -axf extundelete-0.2.4.tar.bz2 -C /usr/local/src

办法3:通过目录名称进行理并答复原
extundelete  /dev/sdb1 –restore-directory  /mongodb

         3.cd /usr/local/src/extundelete-0.2.4

艺术四:恢复生机全体误删文件:
extundelete  /dev/sdb1 –restore-all
extundelete还足以兑现复苏有个别时刻段的数码。能够通过“–after”和“–before”参

         4../configure –prefix=/usr/local/extundelete

无法回复空文件和空目录

         5.make && make install

方法4:
extundelete  /dev/sda4 –restore-all  a

         6.ln -s /usr/local/extundelete/bin/* /usr/local/bin/

extundelete 不能够重整旗鼓空文件和空目录

三、命令

*********************************************************************************
使用debugfs
用debugfs查找被删文件的inode,再设法恢复生机。
[root@hs12 ~]# debugfs /dev/sdb1
debugfs 1.41.12 (17-May-2010)

Usage: extundelete [options] [–] device-file

debugfs:
debugfs: lsdel
Inode Owner Mode Size Blocks Time deleted
0 deleted inodes found.

Options:

正文永世更新链接地址http://www.linuxidc.com/Linux/2016-01/127804.htm

  –superblock
打字与印刷钦定分区的一级块音信。如不加此外的参数,此选项是暗中认可的.     

manbetx网页手机登录版 1

extundelete –superblock /dev/sda3 <—> extundelete /dev/sda1

  –journal 展现块的日志新闻,同–superblock。

extundelete –journal /dev/sda1

  –after dtime 只回复指定时期【dtime】(时间戳)之后,被删除的数码

借使删除的年华东军事和政院约是2017-7-1一 1陆:30

date -d “Jul 11 16:30” +%s

搜查缉获秒数1531297800

回复此时间后去除的兼具文件

extundelete /dev/sdb1 –after 1234567890 –restore-all

  –before dtime 只回复钦定时期【dtime】(时间戳)从前,被删去的数据

  –inode ino 显示某分区inode为x的新闻,一般是翻开该分区下有所的公文

extundelete –inode 2 /dev/sda1

   –block blk 显得某分区block为x的新闻.

   –restore-inode ino[,ino,…]
恢复生机二个或几个内定inode号的文书,该苏醒的文书,保存在当前目录下的RECOVERED_FILES里,文件名叫【file.$inode】

extundelete /dev/sda1 –restore-inode 13,14

   –restore-file ‘filename’ 
复苏钦赐的文本(被删去的),文件位于当前目录下的RECOVERED_FILES/$filename,文件名依然原来的              

extundelete /dev/sda1 –restore-file
initramfs-2.6.32-358.el6.x86_64.img

   –restore-files ‘read_filename’ 
苏醒钦点的文书(真实存在的)中的内容,文件位于当前目录下的RECOVERED_FILES/$filename,文件名依然原本的

extundelete /dev/sda1  –restore-files test_restore.txt

   –restore-directory ‘dir-name’ 
复苏钦定的目录,文件位于当前目录下的RECOVERED_FILES/$dir-name,文件名照旧原来的

extundelete /dev/sda1  –restore-files grub

   –restore-all  苏醒某分区里全部被剔除的多寡,文件名依旧原来的

extundelete /dev/sda1   –restore-all

 

 

 

 

 

 

 

 

 

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图