Linux下利用Lsof恢复误删文件的方法

最新推荐文章于 2023-09-24 13:06:11 发布
最新推荐文章于 2023-09-24 13:06:11 发布
阅读量931 收藏 1
点赞数
分类专栏: LINUX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanndmentt/article/details/17960569
版权

 
原理:在Linux系统的/proc 分区下保存着进程的目录和名字,包含fd(文件描述符)和其下的子目录(进程打开文件的链接),那么如果删除了一个文件,还存在一个 inode的引用:/proc/进程号/fd/文件描述符。我们只要知道当前打开文件的进程pid和文件描述符fd就能利用lsof工具列出进程打开的文件。

一、将 ls 的手册过滤掉主要控制符后重定向到文件ls.txt 中,并用more查看,CTRL + Z 暂停查看操作
  1: [root@localhost script]# man ls |col -b > ls.txt
  2: [root@localhost script]# more ls.txt
  3: LS(1)                    User Commands                           LS(1)
  4:
 1: [1]+  Stopped                 more ls.txt
  2: [root@localhost script]#
  3: [root@localhost script]# jobs
  4: [1]+  Stopped                 more ls.txt
  5:    
二、假设误删文件 ls.txt
  1: [root@localhost script]# rm ls.txt
  2: rm:是否删除 一般文件 “ls.txt”? y


三、利用lsof找到进程6511、并拷贝恢复,只能在这个文件被使用或调用的情况下有效
3: [root@localhost script]# lsof |grep ls.txt
  4: more      6511      root    3r      REG      253,0     7300    1083699 /opt/script/ls.txt (deleted)
  5:
  1: [root@localhost script]# ls -l /proc/6511/fd/
  2: 0  1  2  3
  3: [root@localhost script]# ls -l /proc/6511/fd/3
  4: lr-x------ 1 root root 64 10-30 21:21 /proc/6511/fd/3 -> /opt/script/ls.txt (deleted)
  5:
 1: cp /proc/6511/fd/3 ls.txt.saved


详细出处参考:http://www.jb51.net/LINUXjishu/64735.html

lanndmentt
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lsof恢复删除的文件
06-22
lsof恢复删除的文件 工具也是命令
linux教程:使用lsof命令恢复删除的文件
学亮编程手记
08-20 794
删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm误删文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
使用lsof恢复数据
qq_43239393的博客
07-10 1093
lsof使用
linux各种误删文件恢复方法(经典强推
热门推荐
weixin_43513408的博客
05-27 1万+
inux不像windows有个回收站,使用rm -rf *基本上文件是找不回来的。那么问题来了:对于linux误删文件,我们是否真的无法通过软件进行恢复呢?答案当然是否定的,对于误删文件,我们还是能通过软件恢复过来的。对于误删文件还原可以分为两种情况:一种是删除以后在进程存在删除信息一种是删除以后进程都找不到,只有借助于工具还原。
Linux恢复应用程序被删除的文件(lsof)
嗯!记录自己学习过程。
10-10 1048
通过lsof命令恢复Linux操作系统中被删除的文件
Linux利用Lsof恢复误删文件方法.docx
09-26
Linux利用Lsof恢复误删文件方法.docx
Linux误删messages文件的找回方法
01-20
如果有进程正在使用的文件,如果被误删了,可以找回。如果没有进程在使用,就无法找回被误删文件了。 假如/var/log/messages文件误删了: 1.查询正在使用该文件的进程。 [root@www]# lsof |grep message ...
Linux恢复删除文件lsof命令详解
01-20
linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件...
Linux利用lsof/extundelete工具恢复误删除的文件或目录
09-14
主要给大家介绍了关于Linux利用lsof/extundelete工具恢复误删除的文件或目录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
lsof的基本应用及恢复误删文件
最新发布
MJ的博客
09-24 302
lsof全名list opened files ,yum install lsof即可。linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件
centos7文件误删怎么找回,lsof相关
qq_50695769的博客
09-05 1064
试着删除他,因为刚刚有进程在使用他,所以还在内存里面保存着,这时候不能重启系统和这个进程,重启就是释放内存里面的数据,就找不回了。# lsof | grep secure //如果没有就不要继续下面的。7663是他的进程号,7w里面的7是句柄数,w是描述符。1.使用lsof查看是否有进程正在使用,不要重启此进程。把这个内存里面的内容读取到原来的位置,并重启这个进程。4.通过对应文件描述符恢复文件并立即重载/重启该进程。2.找到打开此文件的pid及对应的文件描述符。3.进入/proc/进程号/fd/目录中。
使用lsof命令恢复已删除文件(正在使用的文件
小啊宇的博客
03-31 1838
方法适用于正在使用的文件 ,且被删除后,可以通过lsof的方式进行恢复。 演示: [root@master ~]# less /var/log/messages 开启另一个终端进行删除操作 [root@master ~]# rm -rf /var/log/messages [root@master ~]# cat /var/log/messages cat: /var/log/messages: 没有那个文件或目录 这个时候不要慌,第一个终端less还是可以正常浏览文件的 准备进行恢复文件 如果提示
如何使用lsof恢复误删除的文件
ITLAYMAN的专栏
12-25 964
文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.     proc文件系统可以协助我们恢复数据. 每一个系统上的进
如何使用lsof命令恢复删除的文件
cxs_123的博客
11-22 1013
sdwed
linux 文件恢复删除文件,Linux通过lsof命令恢复误删文件的步骤
weixin_30833209的博客
04-28 336
Linux系统下lsof命令的用法有很多,恢复误删文件就是其中一种用法,特别是日志类文件恢复,下面小编就给大家介绍下Linux使用lsof命令恢复误删文件方法。前提条件:该文件在删除后,仍然被进程访问着,所以,比较适合用于恢复日志类的文件。当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的...
如何使用lsof命令恢复已删除的文件
allway2的博客
10-14 1079
如何使用lsof命令恢复已删除的文件? 在Linux文件系统中,文件实际上是指向索引节点的链接,该索引节点包含文件的属性,例如所有权,权限,数据块的地址等。当使用rm命令删除文件时,将删除指向其索引节点的链接,但不指向索引节点的链接。其他进程仍可以将其打开。完成操作后,所有链接都将被删除,一个inode及其指向的数据块可用于写入。 现在,如果某个进程仍打开了文件,那么数据就在某个地方,即使根据...
linux命令lsof&可以恢复误删文件
weixin_30335575的博客
08-22 711
写在前面:本文参考了博客 https://www.cnblogs.com/the-study-of-linux/p/5501593.htmllsof (list open files)是一个列出当前系统进程打开文件的工具。在linux系统环境下,任何事物都可以以文件形式存在,通过文件不仅可以访问常规的数据,还可以访问网络连接和硬件。适应条件:lsof访问的是核心文件和各种文件,所以必须以...
linux使用lsof恢复删除文件
龙炎轻舞
11-03 4726
1.使用lsof查看已删除的文件 lsof |grep fileName 2.如果不清楚删除的文件名称可以用如下命令进行查询: lsof |grep deleted 3.查询如下 4.查看删除文件 ls -l /proc/5317/fd/4 5.查看文件描述 file /proc/4254/fd/7 /proc/4254/fd/7:
linux lsof命令详解
weixin_34161064的博客
01-08 880
简介 lsof(list open files)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因为应...
linux lsof
06-12
Linux 中,lsof(List Open Files)是一个非常有用的命令行工具,可以列出当前系统中打开的文件和进程。它可以帮助你查找哪些进程打开了某个文件,哪些文件被哪个进程打开等。 下面是一些常用的 lsof 命令示例:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值