恢复已被删除,但是能然有进程调用的文件

最新推荐文章于 2024-05-05 20:27:17 发布
最新推荐文章于 2024-05-05 20:27:17 发布
阅读量182 收藏 1
点赞数
分类专栏: linux基础 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50247813/article/details/132296731
版权

当Linux计算机受到入侵时,常见的情况是日志文件被删除,以掩盖攻击者的踪迹。管理错误也可能导致意外删除重要的文件,比如在清理旧日志时,意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件。
当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。这意味着,进程并不知道文件已经被删除,它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外,这个文件是不可见的,因为已经删除了其相应的目录索引节点。

实验开始

删除 /var/log/messages 日志文件

rm -f /var/log/messages

虽然messages文件被删除,但是由于 rsyslogd , in:imjour ,rs:main 进在正常调用
这个文件,所以它能然存在磁盘中,但是目录索引节点已经被删除了,所以文件是不可见的

在这里插入图片描述

lsof | grep /var/log/messages

在这里插入图片描述

可以看出文件的调用PID(进程)为623,FD(文件描述符)为6,所有到/proc目录里面恢复
在这里插入图片描述
在这里插入图片描述

可以看出6就是messages日志文件

那么就可以使用 I/O 重定向将其复制到文件中,如:

cat /proc/1283/fd/6 > /var/log/messages

在这里插入图片描述

可以看出文件已经恢复

有谁看见我的剑了?
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查看进程、线程、DLL模块等信息
12-28
一个系统安全类工具,可查看进程、线程、DLL模块等信息,可挂起恢复进程、查看进程文件,结束进程等。 功能: 1.查看进程信息 进程信息:名称、PID、用户、线程数、句柄数、命令行等。 模块信息:模块名称、公司、...
mysql数据库my.cnf配置文件
04-22
# 每次事务提交的时候将数据写入事务日志,而这里的写入仅是调用文件系统的写入操作,而文件系统是有 缓存的,所以这个写入并不能保证数据已经写入到物理磁盘 # 默认值1是为了保证完整的ACID。当然,你可以将这个...
linux 悬挂进程也能恢复,进程文件恢复
weixin_39614011的博客
05-03 295
被删的进程文件恢复(找FD恢复)以/var/log/messages为例:[[emailprotected] ~]# lsof |grep messagesrsyslogd 5764 root 6w REG 8,3 240631 17815676 /var/log/messagesin:imjour 5764 5777 ...
lsof恢复进程打开的文件
weixin_30625691的博客
05-12 53
工作原理:进程每打开文件都会生成一个文件句柄FD来标识一个文件进程打开的文件如果没有被释放,可以通过文件句柄FD来恢复删除文件 注意:适合恢复进程一直在打开一个文件,例如日志文件,如果配置文件进程启动的时候读取马上释放掉该文件的句柄通过这种方式是恢复不了的;同时如果打开的文件删除掉,同时把服务重启了,服务被重启这个文件句柄也会被释放掉,通过lsof方式也是无法恢复的; 安装:yum inst...
进程文件恢复
q592654815的博客
03-21 339
被删的进程文件恢复 (找FD恢复) 以/var/log/messages为例: [root@localhost ~]# lsof |grep messages rsyslogd 5764 root 6w REG 8,3 240631 17815676 /var/log/messages in:imjour 5764 ...
/etc/rsyslog.conf文件详解
ddd123789999的博客
10-29 8638
Linux系统自动的log功能,目前由rsyslog服务代管,应该说rsyslog 是syslog 的升级版。 [root@FNSHB109 ~]# cat /etc/rsyslog.conf rsyslog configuration file MODULES #加载模块列表 The imjournal module bellow is now used as a message source ...
Linux学习-49-列出进程调用或打开的文件信息(lsof命令)
时光
11-23 1830
Linux学习-49-列出进程调用或打开的文件信息(lsof命令)
Oracle 主要配置文件介绍
08-25
Oracle 主要配置文件介绍: profile文件,oratab 文件,数据库实例初始化文件 initSID.ora,监听配置文件, sqlnet.ora 文件,tnsnames.ora 文件 <br>1.2 Oracle 主要配置文件介绍 1.2.1 /etc/profile 文件...
精通windows server 2008 命令行与powershell 电子书PDF单文件完整版
09-08
本书全面地介绍了Windows Server 2008命令行、PowerShell和脚本的使用,包括文件文件夹的管理、磁盘管理、系统管理、活动目录管理、网络管理、网络服务管理、系统诊断、故障恢复、系统安全、批处理和配置文件,...
迷你版SQL2000服务器
01-23
^附加数据库文件时,将移动改为复制,原文件不会被删除; +计划任务在备份数据库后,自动清除旧备份,只保留最后5个备份(按文件,不按时间); *修正计划任务无法正确执行的问题,由皮肤引起的。 1.1.9 +增加...
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 265
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 387
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
Linux】开始认识软硬链接
JLX_1的博客
04-29 3153
本文通过对文件系统的总结,讲解了Linux中的软硬链接
Linux】目录和文件相关的命令,补充:centos7系统目录结构
yannan20190313的博客
05-05 594
Linux】目录和文件相关的命令,补充:centos7系统目录结构
Linux驱动开发——(八)Linux异步通知
wJen的博客
04-27 1239
讲述了Linux内核中的异步通知及其驱动代码。
Linux中的YUM源仓库和NFS文件共享服务
2402_83805984的博客
04-29 862
yum是一个基于RPM包(是Red-Hat Package Manager红帽软件包管理器的缩写)构建的软件更新机制,能够自动解决软件包之间的依赖关系=,解决了日常工作中的大量查找安装依赖包的时间。NFS是一种基于TCP/IP传输的网络文件系统协议,最初由sun公司开发,通过NFS协议。客户机可以向访问本地目录一样访问远程NFS服务器中的共享资源。NFS也是NAS存储设备必然支持的一种协议,但是因为没有用户认证机制,而且数据在网络上明文传输、安全性很差,所以一般只能在局域网中使用。
Linux 根据提交记录生成补丁及新旧文件对比
feibafeibafeiba的博客
04-30 362
根据两个提交记录CMD1和CMD2生成差异文件list.diff,并根据CMD1的修改文件列表复制修改前的文件到old目录,修改后的文件到new目录
Linux的基本指令(下)
最新发布
道阻且长,行则将至,关注我,和我一起奔赴下一场山海!
05-05 389
09 mv指令:可以重命名,可以剪切,也可以既剪切又重命名。大佬的支持和鼓励,将是我成长路上最大的动力。这篇博客续博主的上篇博客Linux基本指令。大佬的支持和鼓励,将是我成长路上最大的动力。阿川水平有限,如有错误,欢迎大佬指正。如果想指定查看前10行到20行呢?,他们会被通常放在一个统一路径下.而。13.1 tail 从末尾开始查找。好了,今天就到这里了,再见。:拷贝文件或者拷贝目录。,同样适合查看大文本)alias可以取别名。
比较liunx操作系统与windows操作系统在进程管理、内存管理、文件管理的异同
03-28
进程管理: 1.相同点: 都是采用进程的方式进行管理,每个进程都有自己的进程标识符,可以进行进程的创建、撤销、挂起、恢复等操作。 2.不同点: (1)在Linux中,进程是通过fork()系统调用创建的,而在Windows中,则是通过CreateProcess()函数创建进程。 (2)Linux中,进程可以通过kill命令结束进程;而在Windows中,则需要使用Task Manager或者命令行工具结束进程。 (3)在Linux中,每个进程都有父进程,形成了进程树状结构;而在Windows中,进程之间没有明显的父子关系。 内存管理: 1.相同点: 都有虚拟内存的概念,可以将磁盘空间作为虚拟内存使用。 2.不同点: (1)Linux中,虚拟内存的大小是由物理内存和交换空间大小决定的,而Windows中则是由物理内存和页面文件大小决定的。 (2)Linux中,使用swap命令可以查看交换空间的使用情况,而Windows中,则是通过Performance Monitor查看页面文件的使用情况。 (3)Linux中,有OOM(Out of Memory)机制,当内存不足时会触发该机制,自动结束一些进程来释放内存;Windows中,没有类似的机制。 文件管理: 1.相同点: 都是通过文件系统来管理文件,可以进行文件的创建、删除、复制、移动等操作。 2.不同点: (1)Linux中,文件系统是树状结构的,所有的文件和目录都是挂在根目录下的;而Windows中,则是通过驱动器的方式进行管理,每个驱动器都有自己的根目录。 (2)Linux中,文件和目录的权限是由用户和用户组来控制的,可以通过chmod命令来修改权限;而Windows中,则是通过文件的属性来控制权限。 (3)Linux中,文件名是区分大小写的,而Windows中,则是不区分大小写的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值