如何使用lsof恢复误删除的文件

最新推荐文章于 2023-09-24 13:06:11 发布
最新推荐文章于 2023-09-24 13:06:11 发布
阅读量1k 收藏
点赞数
分类专栏: unix 文章标签: less 磁盘 vim list 工具 file
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itlayman/article/details/7101176
版权
 

文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.


    proc文件系统可以协助我们恢复数据. 每一个系统上的进程在/proc都有一个目录和自己的名字: 里面包含了一个fd(文件描述符)子目录(进程需要打开文件的所有链接). 如果从文件系统中删除一个文件, 此处还有一个inode的引用:

/proc/进程号/fd/文件描述符

    接下来, 你需要知道打开文件的进程号(pid)和文件描述符(fd). 这些都可以通过lsof工具方便获得, lsof的意思是”list open files, 列出(进程)打开的文件”. 然后你将可以从/proc拷贝出需要恢复的数据.

    首先, 我们需要创建一个文本文件, 删除然后恢复:

    vim lsof.txt

    less lsof.txt     查看,然后使用ctrl + z 退出less命令.

    rm lsof.txt

    ls -l lsof.txt    ///bin/ls: lsof.txt: No such file or directory

    lsof | grep lsof.txt

    less      11462    user_00    4r      REG        8,4        12     33121 /data/qqshowtestcode/md/lsof/lsof.txt (deleted)

    less为进程中使用的命令名,11462为进程号,4r表示文件描述符为4,r代表普通文件.

    现在我们应该知道11462进程仍有打开文件, 文件描述符是4. 那我们开始从/proc里面拷贝出数据.  

    cp   /proc/11462/fd/4    newfile.txt

ITLAYMAN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用lsof命令恢复已删除文件(正在使用文件
小啊宇的博客
03-31 1881
此方法适用于正在使用文件 ,且被删除后,可以通过lsof的方式进行恢复。 演示: [root@master ~]# less /var/log/messages 开启另一个终端进行删除操作 [root@master ~]# rm -rf /var/log/messages [root@master ~]# cat /var/log/messages cat: /var/log/messages: 没有那个文件或目录 这个时候不要慌,第一个终端less还是可以正常浏览文件的 准备进行恢复文件 如果提示
三十、Lunix恢复已rm文件+已删除但未释放空间(XFS+ext文件系统+lsof
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
03-14 653
通过**rm -f**命令删除的文件恢复: 1、lsof恢复:通过未结束的进程来恢复被删除的文件(任何类型文件系统) 2、`xfsdump`工具仅可以恢复`xfs`类型的文件,无法恢复`ext`类型的文件; 3、`extundelete`工具仅可以恢复`EXT`类型的文件,无法恢复`xfs`类型的文件
linux教程:使用lsof命令恢复删除的文件
学亮编程手记
08-20 1066
删掉文件其实只是将指向数据块的索引点(information nodes)释放,只要不被覆盖,数据其实还在硬盘上,关键在于找出索引点,然后将其所指数据块内的数据抓出,再保存到另外的分区。在用rm误删除文件后,我们要做的第一件事就是保证不再向误删文件的分区写数据。
lsof学习手记
weixin_34268753的博客
01-19 184
常用的参数列表: lsoffilename 显示打开指定文件的所有进程 lsof -a 表示两个参数都必须满足时才显示结果 lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件 lsof -u username显示所属user进程打开的文件 lsof -g gid 显示归属gid的进程情况 lsof +d /D...
lsof的基本应用及恢复误删的文件
最新发布
MJ的博客
09-24 502
lsof全名list opened files ,yum install lsof即可。linux环境中,任何事物都是文件,设备是文件,目录是文件,甚至sockets也是文件
Linux下恢复应用程序被删除的文件(lsof)
嗯!记录自己学习过程。
10-10 1102
通过lsof命令恢复Linux操作系统中被删除的文件
Linux利用lsof/extundelete工具恢复误删除文件或目录
09-14
在Linux系统中,误删除...总结,虽然Linux没有像Windows那样的回收站功能,但通过`lsof`和`extundelete`工具,我们可以尝试在一定条件下恢复误删除文件和目录。然而,最好的策略始终是定期备份重要数据,以防万一。
Linux恢复删除文件lsof命令详解
09-15
尤其在恢复误删除文件方面,`lsof`可以发挥关键作用。然而,需要注意的是,这种方法并非总是有效,尤其是当删除的文件没有被任何进程占用时。此外,在实际操作中也需要谨慎行事,确保不会对系统造成其他不必要的...
通过文件描述符恢复误删除文件(前提是文件正被某一个进程占用着,未被释放)
12-26
在这个场景中,如果一个文件误删除,但仍有进程持有着该文件的描述符,我们理论上可以利用这个描述符来恢复文件,因为文件在内存中的数据并没有被清除,只是其在文件系统上的链接被断开了。 首先,我们模拟了一个...
如何使用lsof命令恢复已删除的文件
allway2的博客
10-14 1109
如何使用lsof命令恢复已删除的文件? 在Linux文件系统中,文件实际上是指向索引节点的链接,该索引节点包含文件的属性,例如所有权,权限,数据块的地址等。当使用rm命令删除文件时,将删除指向其索引节点的链接,但不指向索引节点的链接。其他进程仍可以将其打开。完成操作后,所有链接都将被删除,一个inode及其指向的数据块可用于写入。 现在,如果某个进程仍打开了文件,那么数据就在某个地方,即使根据...
使用lsof恢复数据
qq_43239393的博客
07-10 1158
lsof使用
linux使用lsof恢复删除文件
龙炎轻舞
11-03 4919
1.使用lsof查看已删除的文件 lsof |grep fileName 2.如果不清楚删除的文件名称可以用如下命令进行查询: lsof |grep deleted 3.查询如下 4.查看删除文件 ls -l /proc/5317/fd/4 5.查看文件描述 file /proc/4254/fd/7 /proc/4254/fd/7:
清里服务器磁盘的方法和用lsof 恢复已删除的文件(这个文件使用的)及lsof的用法链接
weixin_43513408的博客
08-28 204
链接: 4.2、恢复删除的文件   当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof恢复这些文件。   当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给...
使用lsof恢复误删的文件
cnbird's blog
01-23 663
先介绍一些文件的基本概念, 文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.   bbs.bitsCN.com   
Linux利用lsof命令恢复删除的文件
weixin_34068198的博客
08-15 207
lsof命令 lsof命令用于查看你进程开打的文件,打开文件的进程,进程打开的端口(TCP、UDP)。找回/恢复删除的文件。是十分方便的系统监视工具,因为lsof命令需要访问核心内存和各种文件,所以需要root用户执行。 在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。所以如传输控制协议 (T...
查看被占用的已删除文件-lsof-磁盘空间释放
qq522044637的博客
03-06 2102
问题解决:磁盘空间被占用,但实际目录没有那么大。 使用lsof查找占用已删除文件的进程。将进程杀死或重启后解决。
linux 文件恢复删除文件,Linux通过lsof命令恢复误删文件的步骤
weixin_30833209的博客
04-28 351
Linux系统下lsof命令的用法有很多,恢复误删文件就是其中一种用法,特别是日志类文件恢复,下面小编就给大家介绍下Linux使用lsof命令恢复误删文件的方法。前提条件:该文件在删除后,仍然被进程访问着,所以,比较适合用于恢复日志类的文件。当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的...
lsof 01命令恢复误删除文件
热门推荐
木木的博客
08-02 2万+
前提文件属于在内存中运行状态,下面以apache 日志文件为例 lsof /var/log/httpd/access_log 查看文件存储位置,表明文件存储在/proc/20537/fd/7 文件中.(ps. 图片中7w 表明文件在7文件中) rm -rf /var/log/httpd/access_log lsof -p  PID    查看文件状态 切换目录查看文
MySQL运维:利用lsof命令恢复删除文件
本资料重点介绍了如何利用lsof命令来恢复误删除文件,这是数据库管理中一个非常实用的技能。 lsof命令是Linux系统中的一个工具,用于显示当前系统中所有打开文件的状态,包括进程ID(PID)、用户、文件描述符(FD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值