Linux使用 lsof 恢复删除已删除文件

最新推荐文章于 2024-06-25 03:03:14 发布
最新推荐文章于 2024-06-25 03:03:14 发布
阅读量844 收藏
点赞数
文章标签: 操作系统
原文链接:https://my.oschina.net/leili/blog/3085023
版权

简介

一个打开的文件被突然删除,在文件被程序关闭之前可以通过 lsof 重建文件副本

详情

从文件系统删除文件,只要使用文件的程序仍然在运行,这个文件就可以被恢复。在程序关闭文件或者退出之前 inode 仍然是打开的因此数据块仍然在磁盘上。 通过使用 lsof 和 /proc 可以重建被删除的文件。 可以通过下面的例子来解释:

  1. 新建文件:

    /> cd /tmp
    tmp> ls -lR / > /tmp/myfile
    tmp> ls -l myfile
    -rw-r--r-- 1 fred ftp 11567585 Nov 23 08:44 myfile
    tmp> stat myfile
    File: `myfile'Size: 11567585Blocks: 22640IO Block: 4096 regular fileDevice: 900h/2304dInode: 48871Links: 1Access: (0644/-rw-r--r--)Uid: ( 1900/fred)Gid: (50/ftp)Access: 2006-11-23 08:44:32.000000000 +0000Modify: 2006-11-23 08:44:26.000000000 +0000 Change: 2006-11-23 08:44:26.000000000 +0000

  2. 执行某些命令保持文件被打开:

    scum 97 tmp> less myfile &
    [1] + Suspended (tty output) less myfile

  3. "突然" 删除文件:

    tmp> rm myfile
    tmp> ls -l myfile
    ls: myfile: No such file or directory

  4. 使用 lsof 查看打开文件描述符的进程:

    tmp> lsof | grep myfile
    less11230fred4rREG9,0 1156758548871 /tmp/myfile (deleted)

第二列就是打开文件的进程PID,第四列就是进程打开文件描述符

  1. 在 /proc 下定位打开的文件描述符
    tmp> ls -l /proc/11230/fd/4
    lr-x------ 1 fred ftp 64 Nov 23 08:49 /proc/11230/fd/4 -> /tmp/myfile (deleted)

  2. 这个时候文件就可以被复制回原来的位置:

    tmp> cp /proc/11230/fd/4 myfile
    tmp> ls -l myfile
    -rw-r--r-- 1 fred ftp 11567585 Nov 23 08:54 myfile
    tmp> stat myfile
    File: `myfile'Size: 11567585Blocks: 22640IO Block: 4096 regular fileDevice: 900h/2304dInode: 48878Links: 1Access: (0644/-rw-r--r--)Uid: ( 1900/fred)Gid: (50/ftp)Access: 2006-11-23 08:54:28.000000000 +0000Modify: 2006-11-23 08:54:28.000000000 +0000 Change: 2006-11-23 08:54:28.000000000 +0000

注意:

复制回来的文件和进程打开的文件inode不一样,这个意味着复制出来之后程序对原来文件的修改不会被恢复

转载于:https://my.oschina.net/leili/blog/3085023

chizhifu0541
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用lsof命令恢复删除文件(正在使用文件
小啊宇的博客
03-31 1864
此方法适用于正在使用文件 ,且被删除后,可以通过lsof的方式进行恢复。 演示: [root@master ~]# less /var/log/messages 开启另一个终端进行删除操作 [root@master ~]# rm -rf /var/log/messages [root@master ~]# cat /var/log/messages cat: /var/log/messages: 没有那个文件或目录 这个时候不要慌,第一个终端less还是可以正常浏览文件的 准备进行恢复文件 如果提示
Linux恢复删除文件lsof命令详解
01-20
找回/恢复删除文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络...
Linux利用lsof命令恢复删除文件
weixin_34068198的博客
08-15 205
lsof命令 lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (T...
Linux恢复删除文件或目录_linux恢复删除文件
最新发布
m0_60721823的博客
06-25 853
这种一般是有活动的进程存在持续标准输入或输出,到时文件删除后,进程PID还是存在。这种情况一般是没有守护进程或者后台进程对其持续输入,所以删除删除了,lsof也看不到。比如停止所在分区的服务,卸载目录所在的设备,有必要的情况下都可以断网。linux删除文件还原可以分为两种情况,一种是删除以后在进程存在删除信息,一种是删除以后进程都找不到,只有借助于工具还原,这里分别检查介绍下。命令查看这个目录,文件已经不存在了,那么现在我们将其恢复出来。幸运的是这种情况进程还存在 ,那么开始进行恢复 操作。
linux命令lsof&可以恢复被误删的文件
weixin_30335575的博客
08-22 752
写在前面:本文参考了博客 https://www.cnblogs.com/the-study-of-linux/p/5501593.htmllsof (list open files)是一个列出当前系统进程打开文件的工具。在linux系统环境下,任何事物都可以以文件形式存在,通过文件不仅可以访问常规的数据,还可以访问网络连接和硬件。适应条件:lsof访问的是核心文件和各种文件,所以必须以...
lsof学习手记
weixin_34268753的博客
01-19 182
常用的参数列表: lsoffilename 显示打开指定文件的所有进程 lsof -a 表示两个参数都必须满足时才显示结果 lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件 lsof -u username显示所属user进程打开的文件 lsof -g gid 显示归属gid的进程情况 lsof +d /D...
查看被占用的已删除文件-lsof-磁盘空间释放
qq522044637的博客
03-06 2047
问题解决:磁盘空间被占用,但实际目录没有那么大。 使用lsof查找占用已删除文件的进程。将进程杀死或重启后解决。
Linux利用lsof/extundelete工具恢复删除文件或目录
09-14
在这种情况下,如果有一个活动进程保持了对删除文件的打开状态,可以通过`lsof`命令来查找和恢复。首先,运行`lsof`命令并搜索"deleted",这将显示所有已删除但仍由进程使用文件。例如: ```bash lsof | grep ...
linux使用lsof命令查看文件打开情况
09-15
`lsof`就是这样一个强大的工具,它能提供实时的文件使用情况,包括已删除但仍在使用文件、网络连接等信息。 ### 文件类型简述 在介绍`lsof`之前,有必要了解Linux中的基本文件类型: 1. **普通文件**:包含文本...
linux教程:使用lsof命令恢复删除文件
学亮编程手记
08-20 1035
删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm误删除文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
如何使用lsof命令恢复删除文件
allway2的博客
10-14 1106
如何使用lsof命令恢复删除文件? 在Linux文件系统中,文件实际上是指向索引节点的链接,该索引节点包含文件的属性,例如所有权,权限,数据块的地址等。当使用rm命令删除文件时,将删除指向其索引节点的链接,但不指向索引节点的链接。其他进程仍可以将其打开。完成操作后,所有链接都将被删除,一个inode及其指向的数据块可用于写入。 现在,如果某个进程仍打开了文件,那么数据就在某个地方,即使根据...
lsof的基本应用及恢复误删的文件
MJ的博客
09-24 458
lsof全名list opened files ,yum install lsof即可。linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件
查看删除文件的进程:lsof
weixin_30707875的博客
07-26 184
转载于:https://www.cnblogs.com/lqynkdcwy/p/9369960.html
Linux恢复应用程序被删除文件(lsof)
嗯!记录自己学习过程。
10-10 1092
通过lsof命令恢复Linux操作系统中被删除文件
lsof查找放进linux回收站中的删除文件,并彻底删除恢复文件
程序媛的一生
01-22 780
http://blog.csdn.net/ts1211/article/details/7385896
使用lsof恢复误删的文件
cnbird's blog
01-23 655
先介绍一些文件的基本概念, 文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.   bbs.bitsCN.com   
Linux使用lsof恢复删除文件
congyun2180的博客
05-20 99
http://ora110.itpub.net/post/33978/445354 http://www.itpub.net/viewthread.php?tid=1044449&extra=&page=3 ...
linux使用lsof恢复删除文件
龙炎轻舞
11-03 4892
1.使用lsof查看已删除文件 lsof |grep fileName 2.如果不清楚删除文件名称可以用如下命令进行查询: lsof |grep deleted 3.查询如下 4.查看删除文件 ls -l /proc/5317/fd/4 5.查看文件描述 file /proc/4254/fd/7 /proc/4254/fd/7:
利用lsof恢复Linux删除文件及常用命令详解
这篇资源主要介绍了如何在Linux环境中利用lsof命令...这篇资源对于理解Linux系统的文件删除机制和如何利用lsof恢复删除文件具有指导意义,同时也提供了运维工作中常用命令的简介,有助于提高运维人员的技能和工作效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值