centos7下使用extundelete恢复误删数据

最新推荐文章于 2023-08-04 19:37:02 发布
最新推荐文章于 2023-08-04 19:37:02 发布
阅读量7.3k 收藏 3
点赞数
分类专栏: 运维 系统 知识点 文章标签: extundelete inode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lepton126/article/details/77091294
版权
运维 同时被 3 个专栏收录
206 篇文章 2 订阅
订阅专栏
知识点
180 篇文章 0 订阅
订阅专栏
系统
45 篇文章 0 订阅
订阅专栏

安装 extundelete-0.2.4

extundelete 是一个开源的数据恢复工具,支持 ext3、ext4 文件系统,其官方站点位于http://extundelete.sourceforce.net/

安装依赖包

yum -y install e2fsprogs e2fsprogs-devel
下载extundelete-0.2.4.tar
mv extundelete-0.2.4.tar ./opt
cd opt
cd extundelete-0.2.4
tar -xjf extundelete-0.2.4.tar 
yum install gcc
yum -y install gcc-c++
./configure
make
make install
检查是否安装成功
/usr/local/bin/extundelete -v
extundelete version 0.2.4
libext2fs version 1.41.12
检查文件系统
df -T
找到补误删文件的inode号码

具体方法如下

查看当前路径下的文件目录删除情况
./extundetele --inode 2 /dev/vda1 
一般是从根节点开始找,此时会出来文件目录,选择所要进入的目录,用上面的命令继续查找,直到看到被删除文件的i节点为止。
恢复被删除文件(假设i节点号为3333)
./extundetele --restore-inode 3333 /dev/vda1
恢复的文件在当前路径下的RECOVERED_FILES目录中
# /usr/local/bin/extundelete --restore-inode 281804801 /dev/mapper/vg_***_home
NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates 
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible.  You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n) 
y
Loading filesystem metadata ... 44203 groups loaded.
Loading journal descriptors ... 28521 descriptors loaded.
Unable to restore inode 281804801 (file.281804801): Space has been reallocated.
# /usr/local/bin/extundelete --inode 281804801 /dev/mapper/vg_***_home        
NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates 
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible.  You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n) 
y
Loading filesystem metadata ... 44203 groups loaded.
Group: 34400
Contents of inode 281804801:
0000 | fd 41 f5 01 00 10 00 00 c6 fa 8c 59 bf fa 8c 59 | .A.........Y...Y
0010 | bf fa 8c 59 00 00 00 00 f5 01 02 00 08 00 00 00 | ...Y............
0020 | 00 00 08 00 51 08 00 00 0a f3 01 00 04 00 00 00 | ....Q...........
0030 | 00 00 00 00 00 00 00 00 01 00 00 00 20 20 30 43 | ............  0C
0040 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
0050 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
0060 | 00 00 00 00 21 b5 af 00 00 00 00 00 00 00 00 00 | ....!...........
0070 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
0080 | 1c 00 00 00 d0 4f 89 9f d0 4f 89 9f 80 b3 31 11 | .....O...O....1.
0090 | 63 d8 7a 59 fc ef d9 17 00 00 00 00 00 00 02 ea | c.zY............
00a0 | 07 06 38 00 00 00 00 00 25 00 00 00 00 00 00 00 | ..8.....%.......
00b0 | 73 65 6c 69 6e 75 78 00 00 00 00 00 00 00 00 00 | selinux.........
00c0 | 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 | ................
00d0 | 00 00 00 00 00 00 00 00 75 6e 63 6f 6e 66 69 6e | ........unconfin
00e0 | 65 64 5f 75 3a 6f 62 6a 65 63 74 5f 72 3a 75 73 | ed_u:object_r:us
00f0 | 65 72 5f 68 6f 6d 65 5f 74 3a 73 30 00 00 00 00 | er_home_t:s0....
Inode is Allocated
File mode: 16893
Low 16 bits of Owner Uid: 501
Size in bytes: 4096
Access time: 1502411462
Creation time: 1502411455
Modification time: 1502411455
Deletion Time: 0
Low 16 bits of Group Id: 501
Links count: 2
Blocks count: 8
File flags: 524288
File version (for NFS): 11515169
File ACL: 0
Directory ACL: 0
Fragment address: 0
Direct blocks: 127754, 4, 0, 0, 1, 1127227424, 0, 0, 0, 0, 0, 0
Indirect block: 0
Double indirect block: 0
Triple indirect block: 0

File name                                       | Inode number | Deleted status
.                                                 281804801
..                                                274595841
.groupprocessing.sh.swp                           281804802      Deleted
.groupprocessing.sh.swx                           281804803      Deleted
pcapmasterconfig.txt                              281804808      Deleted
ergodicdir.sh                                     281804804      Deleted
genpcapfilelist-2.sh                              281804809      Deleted
readconfig.sh                                     281804807      Deleted
sourcepcapfilelist.txt                            281804802      Deleted
serialfilelist.txt                                281804805      Deleted
genpcapfilelist-1.sh                              281804812      Deleted
groupprocessing.sh                                281804813      Deleted
groupfilelist.txt                                 281804806      Deleted
.groupprocessing.sh.swp                           281804810      Deleted
groupprocessing.sh~                               281804811      Deleted


# /usr/local/bin/extundelete --restore-inode 281804813 /dev/mapper/vg_***_home
NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates 
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible.  You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n) 
y
Loading filesystem metadata ... 44203 groups loaded.
Loading journal descriptors ... 28520 descriptors loaded.
# /usr/local/bin/extundelete --restore-inode 281804806 /dev/map_***_home
NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates 
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible.  You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n) 
y
Loading filesystem metadata ... 44203 groups loaded.
Loading journal descriptors ... 28520 descriptors loaded.
# /usr/local/bin/extundelete --restore-inode 281804810 /dev/mapper/vg_***_home
NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates 
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible.  You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n) 
y
Loading filesystem metadata ... 44203 groups loaded.
Loading journal descriptors ... 28520 descriptors loaded.
# /usr/local/bin/extundelete --restore-inode 281804811 /dev/mapper/vg_***_home
NOTICE: Extended attributes are not restored.
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set.
The partition should be unmounted to undelete any files without further data loss.
If the partition is not currently mounted, this message indicates 
it was improperly unmounted, and you should run fsck before continuing.
If you decide to continue, extundelete may overwrite some of the deleted
files and make recovering those files impossible.  You should unmount the
file system and check it with fsck before using extundelete.
Would you like to continue? (y/n) 
y
Loading filesystem metadata ... 44203 groups loaded.
Loading journal descriptors ... 28520 descriptors loaded

理解inode

了解下文件存储的大致原理
文件储存在硬盘上,硬盘的最小存储单位叫做"扇区"(Sector)。每个扇区储存512字节。操作系统读取硬盘的时候,是一次性连续读取多个扇区,即一次性读取一个"块"(block)。这种由多个扇区组成的"块",是文件存取的最小单位。"块"的大小,最常见的是4KB,即连续八个 sector组成一个 block。每一个文件都有对应的inode,inode包含文件的元信息,主要信息有文件的字节数,文件拥有者的User ID,文件的Group ID,文件的读、写、执行权限,文件的时间戳,共有三个:ctime指inode上一次变动的时间,mtime,文件内容上一次变动的时间,atime指文件上一次打开的时间,链接数,即有多少文件名指向这个inode,文件数据block的位置,可用stat命令进行查询,inode也会消耗硬盘空间,所以硬盘格式化的时候,操作系统自动将硬盘分成两个区域。一个是数据区,存放文件数据;另一个是inode区(inode table),存放inode所包含的信息。每个inode节点的大小,一般是128字节或256字节。inode节点的总数,在格式化时就给定,一般是每1KB或每2KB就设置一个inode。假定在一块1GB的硬盘中,每个inode节点的大小为128字节,每1KB就设置一个inode,那么inode table的大小就会达到128MB,占整块硬盘的12.8%。查看每个硬盘分区的inode总数和已经使用的数量,可以使用df命令。每个inode都有一个号码,操作系统用inode号码来识别不同的文件。,Unix/Linux系统内部不使用文件名,而使用inode号码来识别文件。对于系统来说,文件名只是inode号码便于识别的别称或者绰号。表面上,用户通过文件名,打开文件。实际上,系统内部这个过程分成三步:首先,系统找到这个文件名对应的inode号码;其次,通过inode号码,获取inode信息;最后,根据inode信息,找到文件数据所在的block,读出数据。使用ls -i命令,可以看到文件名对应的inode号码。
lepton126
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos7软件恢复工具extundelete的安装与使用-附件资源
03-05
centos7软件恢复工具extundelete的安装与使用-附件资源
Linux利用lsof/extundelete工具恢复误删除的文件或目录
weixin_45727997的博客
04-25 284
这篇文章主要给大家介绍了关于Linux利用lsof/extundelete工具恢复误删除的文件或目录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧 前言 Linux不像windows有那么显眼的回收站,不是简单的还原就可以了。 linux删除文件还原可以分为两种情况,一种是删除以后在进程存在删除信息,一种是删除以后进程都找不到,只有借助于工具还原。这里分别检查介绍下 一,误删除文件进程还在的情况。 这种一般是有活动的进程存在持
Ubuntu ext4文件系统下恢复误删除文件
三少GG
07-27 7512
linux ext3 ext4文件系统下 恢复 rm -rf 误删除文件   今天一时手快 rm -rf .* ,删除了一个重要邮件目录,幸好通过extundelete恢复了。 记下操作流程: 1.准备工作 主要通过 extundelete 0.2.0完成恢复 需要依赖两个包 sudo aptitude install e2fsprogs e2fslibs-dev
centos 6 extundelete 介绍和安装
g_already的博客
05-21 383
安装 extundelete 文件恢复工具 1 linux下文件系统一般由文件名、Inode、Block三部分组成。当一个用户在Linux系统中试图访问一个文件时,系统会先根据文件名去查找它的inode,看该用户是否具有访问这个文件的权限。如果有,就指向相对应的文件数据block;如果没有权限,就返回Permission denied。 1、Inode(索引节点)是存放文件属性信息的,默认大小一般是128byte,256byte。 2、Block(区块)是存放文件实际内容的,默认大小1k或4k,一般是
通过extundelete实现CentOS6 ext4文件系统误删除文件的恢复
z19861216的博客
05-30 1245
通过extundelete实现CentOS6 ext4文件系统误删除文件的恢复
centos7软件恢复工具extundelete的安装与使用
独醉的博客
08-05 6217
centos7软件恢复工具extundelete的安装与使用 一.安装extundelete 1.下载相应文件 yum install e2fsprogs-devel e2fsprogs e2fsprogs-libs 2.自行下载extundelete安装包 分享下我下载的安装包:https://pan.baidu.com/s/1ocBNA5KTgmVEeFa30-fkSQ 3.解压缩包 tar...
extundelete恢复备删除的文件
数据之路-忆梦前程
06-01 7857
从http://sourceforge.net/projects/extundelete/获取次工具的安装包 安装 # rpm -qa|grep e2fsprogs e2fsprogs-1.41.12-21.el6.x86_64 e2fsprogs-libs-1.41.12-21.el6.x86_64 e2fsprogs-devel-1.41.12-21.el6.x86_64
误删除文件处理
qq_47905850的博客
06-08 379
简介: extundelete的文件恢复工具,支持ext3/ext4双格式分区恢复。 1、extundelete的文件恢复工具,该工具最给力的一点就是支持ext3/ext4双格式分区恢复。 2.、在实际线上恢复过程中,切勿将extundelete安装到你误删的文件所在硬盘,这样会有一定几率将需要恢复数据彻底覆盖。 3.、extundelete还是有很大的不完整性,基于整个磁盘的恢复功能较为强大,基于目录和文件的恢复还不够强大。 4.、extundelete执行完毕后在当前目录生产一个RECOVERED_F
extundelete实现数据恢复
最新发布
paokuflying的博客
08-04 490
首先格式化设备,mkfs.ext3 /dev/sdb1,然后挂载mount /dev/sdb1 /sdb1,挂载后可以查看inode值,ls -id /sdb1,如果是2就是代表ext3或ext4,如果是64代表是xfs。在/sdb1创建一个文件a01,写入内容后删掉。使用extundelete恢复extundelete /dev/sda4 --restore-file a01。如果忘记了文件名,可以使用extundelete /dev/sdb1 --inode 2来查询文件名和inode
Linux数据恢复工具之extundelete
qq_39652397的博客
04-07 1万+
简介 在Linux系统下,通过命令“rm -rf”可以将任何数据直接从硬盘删除,并且没有任何提示,同时Linux下也没有与Windows下回收站类似的功能,也就意味着,数据在删除后通过常规的手段是无法恢复的,因此使用这个命令要非常慎重。在使用rm命令的时候,比较稳妥的方法是把命令参数放到后面,这样有一个提醒的作用。其实还有一个方法,那就是将要删除的东西通过mv命令移动到系统下的/tmp目录下,然后写个脚本定期执行清除操作,这样做可以在一定程度上降低误删数据的危险性。 其实保证数据安全最好的方法是做好备
centos 恢复 rm -rf 误删数据.docx
08-25
centos 恢复 rm -rf 误删数据.docx
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB
centos7.9.2009误删python2.7整合包
02-12
误删Centos7.9 2009版本系统可以下载此包我已经将文件全部打包直接解压xshll拖进Linux 下执行一下命令即可 rpm -Uvh --replacepkgs lvm2-python-libs*.rpm --nodeps --force rpm -Uvh --replacepkgs libxml2-...
centos7下NFS使用与配置的步骤
09-15
本篇文章主要介绍了centos7下NFS使用与配置的步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
0x0000005c蓝屏问题解决
热门推荐
lepton126的专栏
09-29 2万+
在浪潮inspur服务器上安装操作系统时,出现0x0000005c蓝屏错误,确定是由x2APIC造成的,进入BIOS的CPU设置选项中,将x2APIC选项设置为disable,重新启动机器,完成安装。 先来解释下APIC(高级程序中断控制器),不要与ACPI(Advanced Configuration and Power Interface),电源管理搞混。系统可以在APIC模式下运行。启用A
Failed to get D-Bus connection: No such file or directory
lepton126的专栏
03-11 2万+
在docker中运行 centos7的镜像时,报错 [root@2181bc14e47f /]# systemctl list-units Failed to get D-Bus connection: No such file or directory D-Bus 允许程序在其上注册以提供服务给其他的程序。同时他也提供客户端程序查询有哪些服务是可得的可能性。程序也可注册以等待kernel的eve...
使用awk求指定列的最大值最小值
lepton126的专栏
08-09 1万+
需求:一文件内容如下,求第一列的最大值和最小值 1 1220 2 1221 3 1222 3 1223 4 1224 5 1225 12 1226 12 1227 12 1228 12 1229 12 1230 命令如下 求最小值: sed '/^$/d' test.txt|awk 'NR==1{min=$1;next}{min=min 求最大值: sed '/
ssh无密码登录故障解决
lepton126的专栏
07-26 9216
集群中一个节点始终不能实现ssh 密码登录,问题出现目录权限的设置上,具体分析过程如下 执行ssh -v username@localhost命令 OpenSSH_6.6.1, OpenSSL 1.0.1e-fips 11 Feb 2013                                             debug1: Reading configuration da
centos7 testdisk恢复数据
06-11
如果你需要在 CentOS 7 上使用 TestDisk 工具来恢复数据,可以按照以下步骤操作: 1. 安装 TestDisk 工具。可以使用以下命令来安装: ``` sudo yum install testdisk ``` 2. 启动 TestDisk 工具。可以使用以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值