extundelete 检测文件已删除原理

最新推荐文章于 2024-01-03 14:24:16 发布
最新推荐文章于 2024-01-03 14:24:16 发布
阅读量942 收藏
点赞数
分类专栏: linux 文章标签: linux内核 文件系统 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hobertony_7/article/details/41846873
版权
extundelete 检测文件删除主要使用的是ext文件系统中的ext2_dir_entry_2 结构体(又称为目录项):
        struct ext2_dir_entry_2 {
                  __le32 inode; // 文件入口的inode号,0表示该项未使用
                  __le16 rec_len;// 目录项长度
                  __u8 name_len;// 文件名包含的字符数
                  __u8 file_type; // 文件类型

                 //以上四项共占8个字节(定长)
                 char name[255];// 文件名(这是一个数组,根据name_len这一项确定长度,不定长)
};
        在深入理解linux内核架构第九章ext文件系统中讲到该结构体长度必须是4的倍数,所以可以通过 ((dirent->name_len & 0xFF) + 8 + 3) & ~3)获取当前目录项结构大小,这也是extundelete中获取结构体长度的方法。
        对于一个目录来说,它的inode结构体中指向的块存储的一个或多个ext2_dir_entry_2结构体并且连续存放, '.'和'..'是最开始的两个结构体。
        ext2_dir_entry_2结构体中rec_len 是一个偏移量,表示从一个目录项到下一个目录项之间的偏移量,文件系统代码在从该目录删除一项时会利用该信息(为不必移动目录文件的相当一部分内容,不会删除结构体,而是将删除项前一项的rec_len设置为一个值,跳过删除项,指向删除项的后一项,类似于单链表的删除操作)
        可通过下图理解:


上图中得到t2的地址,然后读取该结构体中的信息就可以得到已经删除文件的文件名。
这就是执行extundelete --inode 2 /dev/sda1 获取分区下面已删除文件的原理
        

hobertony_7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
extundelete-0.2.4.zip
08-13
Centos6 ext4文件删除恢复文件工具 可以用此工具来恢复在系统中误删除文件或目录 extundelete:支持 ext3 和 ext4 文件系统, 实现原理:通过分析文件系统日志,解析出所有文件的 inode 信息,利用 inode 去查找所在 block ,利用 dd 备份出以删除的数据。
Linux数据恢复工具之extundelete
qq_39652397的博客
04-07 1万+
简介 在Linux系统下,通过命令“rm -rf”可以将任何数据直接从硬盘删除,并且没有任何提示,同时Linux下也没有与Windows下回收站类似的功能,也就意味着,数据在删除后通过常规的手段是无法恢复的,因此使用这个命令要非常慎重。在使用rm命令的时候,比较稳妥的方法是把命令参数放到后面,这样有一个提醒的作用。其实还有一个方法,那就是将要删除的东西通过mv命令移动到系统下的/tmp目录下,然后写个脚本定期执行清除操作,这样做可以在一定程度上降低误删除数据的危险性。 其实保证数据安全最好的方法是做好备
linux文件恢复工具extundelete介绍
suheng1的博客
06-08 5669
1. 文件恢复说明 Linux删除文件并不是真实的删除磁盘分区中的文件,而是将文件的inode节点中的扇区指针清除,同时释放这些数据对应的数据块,当释放的数据块被系统重新分配时,那些被删除的数据就会被覆盖,所以误删除数据后,应马上卸载文件所在的分区。 每个文件有inode和block组成,inode是文件系统组成的最基本单元,它保存着文件的基本属性(大小、权限、属主组等)和存放的位置信息。而block用来存储数据。类似key-value,inode就是key,block对应value,通过key查找key
数据恢复extundelete安装及简单使用
weixin_44546992的博客
08-24 2660
一、环境 一台虚拟机:已经安装好 extundelete 的 centos 7操作系统。 二、内容 使用 extundelete 恢复单个误删文件、单个目录文件和所有误删文件 三、主要步骤 1.安装extundelete (1)安装依赖环境e2fsprogs-devel,使用命令yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel ...
Linux文件恢复的原理
cpongo55
01-16 819
转载: https://www.ibm.com/developerworks/cn/linux/1312_caoyq_linuxrestore/index.html 文件恢复的原理本文要介绍的命令是通过文件系统的 inode 值(一般是 2 )来获取文件系统信息。在 ext3 和 ext4 文件系统中,每个文件都是通过...
extundelete
02-23
手机上误删了文件,所以交叉编译了extundelete工具,有需要的拿去用 ===摘要必须大于50个字=== ===摘要必须大于50个字=== ===摘要必须大于50个字===
Linux利用lsof/extundelete工具恢复误删除文件或目录
09-14
主要给大家介绍了关于Linux利用lsof/extundelete工具恢复误删除文件或目录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
extundelete)Vim编辑器和恢复ext4下误删除文件-Xmanager工具-随堂笔记.docx
08-13
方法2:把extundelete在虚拟机上(虚拟机系统要和服务器版本一样),提前安装好后再复制到U盘中,把U盘插入服务器,恢复时,恢复的文件要保存到U盘中,(不要让恢复的数据写到/下,那样会覆盖之前删除文件
extundelete安装_简单高效!Linux数据误删恢复神器—Extundelete
weixin_39979167的博客
11-28 1446
概述Linux数据恢复神器Extundelete,该命令会通过文件系统的inode(文件或目录在文件系统的编号)来获得当前文件系统下所有文件的信息,包括存在的和已经删除文件,这些信息包括文件名和inode等信息,暂不支持xfs文件格式的恢复。本实验环境是:Centos6 ,文件系统格式ext4,使用rm -rf /opt/data/*.c 删除指该目录下的所有.c格式的文件,然后使用extund...
Linux下误删除后的恢复操作测试之extundelete工具使用
最新发布
有莘不破的博客
01-03 697
extundelete工具使用分享
Linux下高效数据恢复软件extundelete应用实战
07-30
作为一名运维人员,保证数据的安全是根本职责,所以在维护系统的时候,要慎之又慎,但是有时难免会出现数据被误删除的情况,在这个时候改如何快速、有效地恢复数据呢?本文我们就来介绍一下Linux系统下常用的几个数据恢复工具。
linux教程:使用extundelete工具恢复删除文件
学亮编程手记
08-20 825
Ubuntu的解决办法为sudo apt-get install e2fslibs-dev e2fslibs-dev。则使用yum -y install e2fsprogs e2fsprogs-devel来解决。解压该文件tar jxvf extundelete-0.2.4.tar.bz2。可以看到,我们的目录/media/taroballs/taroballs。执行恢复extundelete /dev/sdb1 --inode 2。则使用yum -y install gcc-c++解决.
Linux误删文件/目录后,extundelete安装及恢复过程中的相关问题及解决
boiling_ice的博客
12-04 2365
linux误删文件目录后,extundelete安装及恢复过程中的相关问题及解决办法
Linux运维养成记-数据恢复软件 extundelete
weixin_45181224的博客
10-11 482
目录1. 如何使用 rm 命令2. extundelete 介绍3. 安全extundelete4. extundelete用法详解5. extundelete 实战5.1 模拟数据误删5.2 卸载磁盘分区5.3 查询可恢复的数据信息5.4 恢复单个文件5.5 恢复单个目录5.6 恢复所有误删数据5.7 恢复某个时间段的数据 1. 如何使用 rm 命令 在生产环境中尽量避免使用rm命令,可以用过m...
Linux ext4 rm 误删,用extundelete恢复失败/报错,无数血泪教训!!!附:ext4误删后的正确处理步骤
数据恢复技术分享,和案例记录
01-13 6818
目录 典型误操作 Ext4误删恢复原理 恢复失败的主要原因 正确的数据恢复步骤 恢复实例教学 工作室部分恢复案例 技术支持 典型误操作 阿里云WEB CentOS 云主机,默认为ext4文件系统。用户rm * -rf 误删除MySQL数据库整个目录。 用户下载安装了extundelete等软件,发现可以看到被删除文件,但用恢复时报错。 明明百度上都说extundelete是神......
Linux上恢复误删除文件或目录
热门推荐
qq_40907977的博客
06-15 4万+
删除Linux系统文件了?不用急,本文将给你一个恢复Linux文件的方法,让你轻松应对运维中的各风险问题。方法总比问题多~ 说在前面的话 针对日常维护操作,难免会出现文件删除的操作。大家熟知Linux文件系统不同win有回收站,删除后的文件可以到垃圾箱寻回,要知道Linux文件修复比较费劲,网络上面的文档也是五花八门。所以本次研究一种比较靠谱的文件和目录恢复方法,也给维护人员留一条后路。 分析对比debugfs. testdisk 6.14. extundelete,对比各自官网介绍和操作说明本次决定研
Linux文件恢复利器 ext3grep与extundelete
小麦苗DBA宝典
08-30 785
Linux文件恢复利器 ext3grep与extundelete extundelete-0.2.4.tar.bz2 ext3grep-0.10.2.tar.gz ...
Python与c/c++混合编程
hobertony_7的专栏
03-28 3万+
Python时现在很火的一种语言,在云计算、人工智能、自动化测试等领域使用率非常高。之所以有这么大的市场使用率,python也是有它自己的独特之处,首先python易学,并且是一种解释性语言,不需要经过编译,并且它有着非常丰富的第三方库,可以帮助你处理各种工作,包括:电子邮件、数据库、web、GUI、单元测试等。Python采用强制缩进的方式使得代码有着极佳的可读性。 ...
cannot access storage file (as uid:107, gid:107)permission denied
hobertony_7的专栏
11-20 1万+
今天自己编译了spice-protocol spice-gtk spice qemu,然后想用virsh去创建一个虚机: # virsh define demo.xml     定义域 demo(从 demo.xml) # virsh start demo     cannot access storage file (as uid:107, gid:107)  permi
extundelete能恢复xfs文件
06-03
extundelete是一个强大的命令行工具,可以用于恢复Ext2/Ext3/Ext4和XFS文件系统中已删除文件。但是,恢复删除文件的成功率取决于很多因素,如文件删除的时间、文件系统的使用情况等。因此,在使用extundelete...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值