使用lsof恢复进程打开的误删除文件

最新推荐文章于 2023-09-05 09:36:53 发布
最新推荐文章于 2023-09-05 09:36:53 发布
阅读量649 收藏
点赞数
分类专栏: 云存储项目 文章标签: linux centos lsof
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly1574/article/details/106457527
版权

在Linux系统中一切皆可以看成是文件,文件又可分为:普通文件、目录文件、链接文件和设备文件。文件描述符(file descriptor)是内核为了高效管理已被打开的文件所创建的索引,其是一个非负整数(通常是小整数),用于指代被打开的文件,所有执行I/O操作的系统调用都通过文件描述符。程序刚刚启动的时候,0是标准输入,1是标准输出,2是标准错误。如果此时去打开一个新的文件,它的文件描述符会是3。当完成任务后,再通过调用系统函数来关闭该文件。
任务1 lsof查看打开/var/log/messages文件的进程
[root@f ~]# lsof -l /var/log/messages

在这里插入图片描述
任务2 使用cp备份后用rm模拟误删除

[root@f ~]# cp /var/log/messages /var/log/messages.bak
[root@f ~]# rm /var/log/messages
rm: remove regular file ‘/var/log/messages’? y
[root@f ~]# cp /var/log/messages.bak /var/log/messages
[root@f ~]# ls -lh /var/log/messages
在这里插入图片描述
在这里插入图片描述
任务3 lsof再次查看message文件的状态
此处重启,再查看
[root@f ~]# lsof -l /var/log/messages

在这里插入图片描述

任务4 查看相应进程的文件描述符FD
由lsof可以知道messages的进程的893,FD为3W
使用ls 即可知道messages所连接的文件进程
[root@f ~]# ls -lh /proc/893/fd/
[root@f ~]# cat /proc/893/fd/3
在这里插入图片描述
在这里插入图片描述

任务5 通过文件描述符查看文件的内容并恢复
重启之后查看messages的进程号,删除并恢复

[root@f ~]# lsof -l /var/log/messages
[root@f ~]# rm -rf /var/log/messages
[root@f ~]# cat /proc/893/fd/3 > /var/log/messages
[root@f ~]# head /var/log/messages

在这里插入图片描述

指剑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
lsof恢复删除的文件
06-22
lsof恢复删除的文件 工具也是命令
linux教程:使用lsof命令恢复删除的文件
学亮编程手记
08-20 857
删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm误删除文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
使用lsof恢复数据
qq_43239393的博客
07-10 1099
lsof使用
linux各种误删文件恢复方法(经典强推
热门推荐
weixin_43513408的博客
05-27 1万+
inux不像windows有个回收站,使用rm -rf *基本上文件是找不回来的。那么问题来了:对于linux下误删的文件,我们是否真的无法通过软件进行恢复呢?答案当然是否定的,对于误删的文件,我们还是能通过软件恢复过来的。对于误删文件还原可以分为两种情况:一种是删除以后在进程存在删除信息一种是删除以后进程都找不到,只有借助于工具还原。
Linux恢复应用程序被删除的文件(lsof)
嗯!记录自己学习过程。
10-10 1058
通过lsof命令恢复Linux操作系统中被删除的文件
linux使用lsof命令查看文件打开情况
09-15
主要给大家介绍了关于在linux中利用lsof命令如何查看文件打开情况的相关资料,文中通过示例代码以及图文介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Linux利用lsof/extundelete工具恢复误删除文件或目录
09-14
主要给大家介绍了关于Linux利用lsof/extundelete工具恢复误删除文件或目录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux命令 — lsof 查看进程打开那些文件 或者 查看文件给那个进程使用1
08-03
1.普通的件,2.录 3.络件系统的件,4.字符设备件 5.(函数)共享 8.底层的socket字流,络socket,unix域名socket 9.在linux
centos7文件被误删怎么找回,lsof相关
最新发布
qq_50695769的博客
09-05 1103
试着删除他,因为刚刚有进程使用他,所以还在内存里面保存着,这时候不能重启系统和这个进程,重启就是释放内存里面的数据,就找不回了。# lsof | grep secure //如果没有就不要继续下面的。7663是他的进程号,7w里面的7是句柄数,w是描述符。1.使用lsof查看是否有进程正在使用,不要重启此进程。把这个内存里面的内容读取到原来的位置,并重启这个进程。4.通过对应文件描述符恢复文件并立即重载/重启该进程。2.找到打开文件的pid及对应的文件描述符。3.进入/proc/进程号/fd/目录中。
使用lsof命令恢复已删除文件(正在使用文件
小啊宇的博客
03-31 1839
此方法适用于正在使用文件 ,且被删除后,可以通过lsof的方式进行恢复。 演示: [root@master ~]# less /var/log/messages 开启另一个终端进行删除操作 [root@master ~]# rm -rf /var/log/messages [root@master ~]# cat /var/log/messages cat: /var/log/messages: 没有那个文件或目录 这个时候不要慌,第一个终端less还是可以正常浏览文件的 准备进行恢复文件 如果提示
如何使用lsof命令恢复删除的文件
cxs_123的博客
11-22 1017
sdwed
如何使用lsof命令恢复已删除的文件
allway2的博客
10-14 1088
如何使用lsof命令恢复已删除的文件? 在Linux文件系统中,文件实际上是指向索引节点的链接,该索引节点包含文件的属性,例如所有权,权限,数据块的地址等。当使用rm命令删除文件时,将删除指向其索引节点的链接,但不指向索引节点的链接。其他进程仍可以将其打开。完成操作后,所有链接都将被删除,一个inode及其指向的数据块可用于写入。 现在,如果某个进程打开文件,那么数据就在某个地方,即使根据...
Linux下利用Lsof恢复误删文件的方法
lanndmentt的专栏
01-07 931
原理:在Linux系统的/proc 分区下保存着进程的目录和名字,包含fd(文件描述符)和其下的子目录(进程打开文件的链接),那么如果删除了一个文件,还存在一个 inode的引用:/proc/进程号/fd/文件描述符。我们只要知道当前打开文件进程pid和文件描述符fd就能利用lsof工具列出进程打开文件。 一、将 ls 的手册过滤掉主要控制符后重定向到文件ls.txt 中,并用more查
lsof 详解
ttyr123的专栏
08-12 384
 lsof(list openfiles)是一个列出当前系统打开文件的工具。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (TCP) 和用户数据报协议 (UDP)套接字等,系统在后台都为该应用程序分配了一个文件描述符,无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口。因
linux命令lsof&可以恢复被误删的文件
weixin_30335575的博客
08-22 712
写在前面:本文参考了博客 https://www.cnblogs.com/the-study-of-linux/p/5501593.htmllsof (list open files)是一个列出当前系统进程打开文件的工具。在linux系统环境下,任何事物都可以以文件形式存在,通过文件不仅可以访问常规的数据,还可以访问网络连接和硬件。适应条件:lsof访问的是核心文件和各种文件,所以必须以...
linux使用lsof恢复删除文件
龙炎轻舞
11-03 4758
1.使用lsof查看已删除的文件 lsof |grep fileName 2.如果不清楚删除的文件名称可以用如下命令进行查询: lsof |grep deleted 3.查询如下 4.查看删除文件 ls -l /proc/5317/fd/4 5.查看文件描述 file /proc/4254/fd/7 /proc/4254/fd/7:
linux 文件恢复删除文件,Linux通过lsof命令恢复误删文件的步骤
weixin_30833209的博客
04-28 336
Linux系统下lsof命令的用法有很多,恢复误删文件就是其中一种用法,特别是日志类文件恢复,下面小编就给大家介绍下Linux使用lsof命令恢复误删文件的方法。前提条件:该文件在删除后,仍然被进程访问着,所以,比较适合用于恢复日志类的文件。当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的...
liunx删除文件控件不释放【lsof | grep delete 不管用 可以看看】
11-16 3171
不说那么多,通过 lsof | grep delete 查询不到的 。 大家可以 在 删除文件的目录 执行 ls -a 应该会有一个隐藏文件,把那个隐藏文件删除就oK了。 我...
lsof学习手记
weixin_34268753的博客
01-19 182
常用的参数列表: lsoffilename 显示打开指定文件的所有进程 lsof -a 表示两个参数都必须满足时才显示结果 lsof -c string 显示COMMAND列中包含指定字符的进程所有打开文件 lsof -u username显示所属user进程打开文件 lsof -g gid 显示归属gid的进程情况 lsof +d /D...
怎么使用lsof命令查找文件被什么进程使用
05-31
lsof 是一个用于列出打开文件的工具,它可以显示文件的相关信息,包括文件被哪个进程使用。以下是使用 lsof 命令查找文件被哪个进程使用的方法: 1. 打开终端并输入以下命令: ``` lsof /path/to/file ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

指剑

捐点钱吧,小笼包8元一笼,谢谢

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值