如何使用lsof命令恢复删除的文件

最新推荐文章于 2024-06-25 03:03:14 发布
最新推荐文章于 2024-06-25 03:03:14 发布
阅读量1k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxs_123/article/details/109826920
版权

在Linux文件系统中,文件名实际是指向索引节点"inode"的链接。Linux创建文件系统后,就会生成inode表,inode索引节点会包含文件的属性、block块的指针等信息关于inode介绍看我这篇博文
当使用"rm"命令删除某文件时,只是删除了指向inode索引节点的链接,但是没有删除inode索引节点,也就是说inode所指向的block块中所存放的数据并没有被删除。其它进程仍然可以使用此inode索引节点所指向的数据。若是一个inode索引节点没有任何进程调用,也没有任何文件名链接时,就会定时被系统回收这部分存储空间。

"lsof"命令用于查看系统中进程打开的文件、打开文件的进程、进程打开的端口(TCP、UDP)。所以当我们使用"rm"命令删除某个文件时,可以通过"lsof"命令来查看是否还有进程调用此文件的inode索引节点。若是有,就可以恢复;若是没有,哭吧。因为"lsof"命令需要访问核心内存和各种文件,所以需要root用户执行。

语法:
lsof(选项)

参数:
-a:列出打开文件存在的进程; 
-c<进程名>:列出指定进程所打开的文件; 
-g:列出GID号进程详情; 
-d<文件号>:列出占用该文件号的进程; 
+d<目录>:列出目录下被打开的文件; 
+D<目录>:递归列出目录下被打开的文件; 
-n<目录>:列出使用NFS的文件; 
-i<条件>:列出符合条件的进程。(4、6、协议、:端口、 @ip ) 
-p<进程号>:列出指定进程号所打开的文件; 
-u:列出UID号进程详情; 
-h:显示帮助信息; 
-v:显示版本信息。

比如要查看22端口有哪些进程在访问:
在这里插入图片描述
losf输出各列信息的意义如下:

  • COMMAND:进程名称
  • PID:进程标识符
  • USER:进程所有者
  • FD:文件描述符,应用程序通过文件描述符识别该文件
  • TYPE:文件类型;常见的有"DIR"表示目录、"CHR"表示字符类型、"IPV4"表示网际协议套接字
  • DEVICE:指定磁盘的名称
  • SIZE./OFF:文件的大小
  • NODE:索引节点
  • NAME:打开文件的确切名称

恢复文件
下面和大家分享一下如何恢复文件,我拿"/var/log/messages"日志文件来举例;大家自己在做测试的时候做好现备份一下。
第一步:备份文件
在这里插入图片描述
第二步:在进程调用"/var/log/messages"时,就把"/var/log/messages"这个文件删掉
在这里插入图片描述
在这里插入图片描述
第三步:删除"/var/log/messages"文件之后,再来看看进程的变化
在这里插入图片描述
大家可以看到原来调用"/var/log/messages"文件的进程发生了变化,提示信息后面多了"deleted"。要找到"/var/log/messages"现在在哪里,还要看看这个"PID:900 FD:4 “,于是我们就进入”/proc/900/fd"这个目录中查看有哪些文件:
在这里插入图片描述
我们看到了有一个名称为"4"的文件是指向"/var/log/messages"的链接,于是我们可以通过文件名为"4"的内容恢复"/var/log/messages"的文件内容:
在这里插入图片描述

路~~~
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用lsof命令恢复删除文件(正在使用文件
小啊宇的博客
03-31 1889
此方法适用于正在使用文件 ,且被删除后,可以通过lsof的方式进行恢复。 演示: [root@master ~]# less /var/log/messages 开启另一个终端进行删除操作 [root@master ~]# rm -rf /var/log/messages [root@master ~]# cat /var/log/messages cat: /var/log/messages: 没有那个文件或目录 这个时候不要慌,第一个终端less还是可以正常浏览文件的 准备进行恢复文件 如果提示
linux教程:使用lsof命令恢复删除文件
学亮编程手记
08-20 1073
删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm删除文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
在Linux上恢复删除文件或目录_linux恢复删除文件
最新发布
m0_60721823的博客
06-25 2185
这种一般是有活动的进程存在持续标准输入或输出,到时文件删除后,进程PID还是存在。这种情况一般是没有守护进程或者后台进程对其持续输入,所以删除删除了,lsof也看不到。比如停止所在分区的服务,卸载目录所在的设备,有必要的情况下都可以断网。linux删除文件还原可以分为两种情况,一种是删除以后在进程存在删除信息,一种是删除以后进程都找不到,只有借助于工具还原,这里分别检查介绍下。命令查看这个目录,文件已经不存在了,那么现在我们将其恢复出来。幸运的是这种情况进程还存在 ,那么开始进行恢复 操作。
如何使用lsof命令恢复删除文件
allway2的博客
10-14 1110
如何使用lsof命令恢复删除文件? 在Linux文件系统中,文件实际上是指向索引节点的链接,该索引节点包含文件的属性,例如所有权,权限,数据块的地址等。当使用rm命令删除文件时,将删除指向其索引节点的链接,但不指向索引节点的链接。其他进程仍可以将其打开。完成操作后,所有链接都将被删除,一个inode及其指向的数据块可用于写入。 现在,如果某个进程仍打开了文件,那么数据就在某个地方,即使根据...
lsof的基本应用及恢复误删的文件
MJ的博客
09-24 510
lsof全名list opened files ,yum install lsof即可。linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件
Linux利用lsof命令恢复删除文件
weixin_34068198的博客
08-15 209
lsof命令 lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (T...
Linux下恢复应用程序被删除文件(lsof)
嗯!记录自己学习过程。
10-10 1103
通过lsof命令恢复Linux操作系统中被删除文件
lsof恢复删除文件
06-22
lsof】工具来尝试恢复那些被意外删除但仍在使用文件lsof,全称为"List Open Files",是一个在Unix-like操作系统中广泛使用命令行工具,用于列出系统中所有当前被打开的文件,包括由哪些进程打开,以及相关的...
Linux恢复删除文件lsof命令详解
01-20
找回/恢复删除文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络...
linux使用lsof命令查看文件打开情况
09-15
`lsof`就是这样一个强大的工具,它能提供实时的文件使用情况,包括已删除但仍在使用文件、网络连接等信息。 ### 文件类型简述 在介绍`lsof`之前,有必要了解Linux中的基本文件类型: 1. **普通文件**:包含文本...
Linux系统被入侵后使用lsof命令恢复删除日志的方法.docx
09-26
Linux 系统被入侵后使用 lsof 命令恢复删除日志的方法 Linux 系统作为服务器最常见的操作系统,面临着非常多的安全事件。攻击者为了掩盖踪迹,经常会清除系统中的各种日志,包括 Web 的 access 和 error 日志、...
linux lsof 命令恢复被误删的文件
Jaemon
02-13 409
linux lsof 命令恢复被误删的文件
linux命令lsof&可以恢复被误删的文件
weixin_30335575的博客
08-22 766
写在前面:本文参考了博客 https://www.cnblogs.com/the-study-of-linux/p/5501593.htmllsof (list open files)是一个列出当前系统进程打开文件的工具。在linux系统环境下,任何事物都可以以文件形式存在,通过文件不仅可以访问常规的数据,还可以访问网络连接和硬件。适应条件:lsof访问的是核心文件和各种文件,所以必须以...
使用lsof恢复数据
qq_43239393的博客
07-10 1163
lsof使用
lsof恢复rm -rf命令删除文件
qq_38891116的博客
11-16 506
centos默认是没有lsof yum install lsof 比如不小心删掉了mysqld.log的这个日志文件(测试之前,建议备份) rm -rf /var/log/mysqld.log 这里已经找不到了 然后输入命令查看 lsof |grep /var/log/mysqld.log 发现这里文件状态deleted,并且操作进程号为13177 进入13177进程下操作的文件...
lsof学习手记
weixin_34268753的博客
01-19 184
常用的参数列表: lsoffilename 显示打开指定文件的所有进程 lsof -a 表示两个参数都必须满足时才显示结果 lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件 lsof -u username显示所属user进程打开的文件 lsof -g gid 显示归属gid的进程情况 lsof +d /D...
查看删除文件的进程:lsof
weixin_30707875的博客
07-26 187
转载于:https://www.cnblogs.com/lqynkdcwy/p/9369960.html
lsof |grep deleted;du -sh / ;df -h;
weixin_34007886的博客
11-07 260
有台机器磁盘满了; 进程端口都正常,存活;但是页面却完全打不开了; 日志爆满;删除日志后; 在根上 du -sh * 然后 df -h   发现差别太大了; du -sh * / 才不足7G; df -h 使用量已经 47G了都;   查资料知道 du -sh 和 df -h 之间的区别;但是这种理论上的区别不会导致这种离谱的结果;   进而google得知,是已删除文件...
lsof deleted java,linux找出已经删除但磁盘空间未释放的大文件并清空
weixin_35103924的博客
03-16 2365
1、找出已经删除但磁盘空间未释放的文件如果文件已经删除,但实际的磁盘空间未释放,这个时候文件句柄fd相关信息还在内存中,可以通过lsof命令找出,比如打开文件的pid和读写文件的系统fd。lsof |grep -i deletejava 20302 5351 hbase 3w REG 253,1 25778031203 ...
MySQL运维:利用lsof命令恢复删除文件
本资料重点介绍了如何利用lsof命令恢复删除文件,这是数据库管理中一个非常实用的技能。 lsof命令是Linux系统中的一个工具,用于显示当前系统中所有打开文件的状态,包括进程ID(PID)、用户、文件描述符(FD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值