AMH 社区首页

AMH社区 - 开放自由有价值的社区

[综合话题] Linux误删数据恢复 AMH社区列表
fangzhen 铁牌会员 131.70 价值分	fangzhen 发表于 2017-12-10 14:32:49 引子指在键上飘，难免会湿手套。当你按下shift+del键后，会不会突然心里凉透，当你执行rm -rf后，会不会马上去搜索哪个国家入境不需要签证。或者你还会遇到如下的情况： root@4xem7:~# alias alias cd='rm -rf' alias d='docker' 数据恢复原理浅析如图所示，硬盘上数据的存放有一个类似于书本目录的东西存在，就是图中最上面那一排圆形。硬盘格式化后，被分割成了很多个小块，就像蜂巢一样，一个个的小房间，就是上图中间部分的长方块，这个小房间才是真正存放数据的地方，最下面的数字，是房间号，也就是inode号。如果我们要使用文件A，在最上面的目录里面就能很快的知道文件A在1号房间。 ➤什么情况下，被误删的数据能恢复误删情况发生后，第一重要的事情就是卸载误删数据所在的分区，而不是关机，绝对不能关机，为什么？现在所有的系统优化，其本质就是把硬盘IO转换成内存IO，就是把本该到硬盘里面去读写的内容，提前预载到内存里面去。你若正常关机，redis持久化的数据，可能有好几个G，mysql的InnoDB_Buffer_Pool缓冲池里面的东西（可能有好几十个G），这些东西往硬盘里面一写，你还想恢复数据，等我发明时光机吧。为什么说马上卸载分区，数据就能恢复。看下图，rm -rf删除了A文件。其实，系统只是删除了目录里面的文件指向，文件A还好好的趟在1号房间里面。所以这种情况，文件是能很轻松的恢复的。 ➤什么情况下，被误删的数据不能恢复承接上一张图，目录里面显示1号房间是空的，可以重新放数据进去，若此时，硬盘又接收到写入请求(比方说你脑抽，把数据恢复软件安装到了误删数据所在的分区)，就会把数据写入1号房间：此时，你若还想恢复数据，只能等我发明时光机了。 extundelete恢复举例 extundelete可以恢复ext3、ext4文件系统下被误删的文件，看其恢复原理xfs文件系统应该也是可以恢复的。安装extundelete 在安装extundelete前，需要安装e2fsprogs和e2fsprogs-libs，自行用yum安装就可以。 [root@dish ~]# rpm -qa \|grep e2fsprogs e2fsprogs-libs-1.41.12-22.el6.x86_64 e2fsprogs-1.41.12-22.el6.x86_64 epel源里面有extundelete，直接安装就行。 [root@dish ~]# yum install extundelete -y [root@dish ~]# rpm -ql extundelete /usr/bin/extundelete /usr/share/doc/extundelete-0.2.4 /usr/share/doc/extundelete-0.2.4/LICENSE /usr/share/doc/extundelete-0.2.4/README extundelete常用参数解释 Options: --superblock 显示超级块信息，默认选项. --journal 显示日志信息. --after dtime 表示在某段时间之后被删除的文件或目录. --before dtime 表示在某段时间之前被删除的文件或目录. Actions: --inode ino Show info on inode 'ino'. --block blk Show info on block 'blk'. --restore-inode ino[,ino,...] 恢复指定inode号的文件，恢复出来的文件会放在当前目录下的RECOVERED_FILES文件夹中 --restore-file 'path' 恢复指定路径的文件 --restore-files 'path' 恢复在路径中列出的所有文件 --restore-all 尝试恢复所有目录和文件恢复文件 ➤测试文件 [root@dish reco]# for i in A B C D;do echo "this is file$i">$i;done [root@dish reco]# cat A B C D this is fileA this is fileB this is fileC this is fileD [root@dish reco]# find ./ -type f \|xargs md5sum >./file.md5 [root@dish reco]# cat file.md5 d41d8cd98f00b204e9800998ecf8427e ./file.md5 c2f9bc9edb959d08dc838af14c5cd8ff ./C afc688bfcd0666302ed55da472ecfbb8 ./B 0a540f40e1e8c3e5ad50571f1621d5b3 ./A 2c3fdd8c8e23a1ba2d0381981f337348 ./D [root@dish reco]# rm -rf A B C D [root@dish reco]# ls file.md5 ➤卸载磁盘分区发现数据误删后，只做一件事，卸载数据所在分区 [root@dish reco]# cd [root@dish ~]# umount /dev/vdb1 ➤查询可恢复的数据首先查看数据所在目录reco的inode号 [root@dish ~]# extundelete /dev/vdb1 --inode 2 \|grep reco reco 131073 reco目录的inode号131073 [root@dish ~]# extundelete /dev/vdb1 --inode 131073 \|tail Triple indirect block: 0 File name \| Inode number \| Deleted status . 131073 .. 2 A 131074 Deleted B 131075 Deleted C 131076 Deleted D 131077 Deleted file.md5 131078 如上所示，标记为Deleted状态的就是误删的文件，同时还能看到对应文件的inode值，有了这些，我们就可以恢复文件了。 [root@dish ~]# extundelete /dev/vdb1 --restore-file reco/C NOTICE: Extended attributes are not restored. Loading filesystem metadata ... 160 groups loaded. Loading journal descriptors ... 2858 descriptors loaded. Successfully restored file reco/C [root@dish ~]# extundelete /dev/vdb1 --restore-file reco/D NOTICE: Extended attributes are not restored. Loading filesystem metadata ... 160 groups loaded. Loading journal descriptors ... 2858 descriptors loaded. Successfully restored file reco/D --restore-file 后面的reco/C是个相对路径，其原本的路径是/bak/reco/C，而bak目录挂载的就是/dev/vdb1。文件恢复成功后，会在你执行恢复命令的当前目录生成一个RECOVERED_FILES目录，恢复出来的文件就在里面。 [root@dish ~]# cd RECOVERED_FILES/reco/ [root@dish reco]# md5sum -c file.md5 ./C: OK ./B: OK ./A: OK ./D: OK 恢复出来的文件经过MD5校验全通过。恢复成功。恢复目录 [root@dish reco]# mkdir mulu [root@dish reco]# cd !$ cd mulu [root@dish mulu]# touch {01..09} [root@dish mulu]# ls 01 02 03 04 05 06 07 08 09 [root@dish mulu]# cd .. [root@dish reco]# rm -rf mulu [root@dish reco]# cd [root@dish ~]# r umount umount /dev/vdb1 [root@dish ~]# extundelete /dev/vdb1 --restore-directory /reco/mulu NOTICE: Extended attributes are not restored. Loading filesystem metadata ... 160 groups loaded. Loading journal descriptors ... 2857 descriptors loaded. Searching for recoverable inodes in directory /reco/mulu ... 10 recoverable inodes found. Looking through the directory structure for deleted files ... 2 recoverable inodes still lost. [root@dish reco]# ls mulu/ 01 02 03 04 05 06 07 08 目录被成功恢复，注意，目录里面的空文件是无法恢复的，09就是一个空文件。恢复所有文件需要恢复的文件数量过多的时候，可以用这个选项。 [root@dish tmp]# extundelete /dev/vdb1 --restore-all 恢复某个时间点之后删除的文件这个应该是用的最多的场景了，比方说需要恢复一个小时内被删除的文件。 extundelete --after `echo $(date +%s)-3600 \|bc` --restore-all /dev/vdb1 一个小时3600秒，根据自己需求修改上面的减数。原创文章，笛声评价: 这个话题有价值吗? 没有 (0分) 有, 感谢 (0分) 2017-12-10 14:32:49 1

[综合话题] Linux误删数据恢复

fangzhen
铁牌会员
131.70 价值分

fangzhen 发表于 2017-12-10 14:32:49

引子

指在键上飘，难免会湿手套。当你按下shift+del键后，会不会突然心里凉透，当你执行rm -rf后，会不会马上去搜索哪个国家入境不需要签证。或者你还会遇到如下的情况：

root@4xem7:~# alias
alias cd='rm -rf'
alias d='docker'
数据恢复原理浅析

如图所示，硬盘上数据的存放有一个类似于书本目录的东西存在，就是图中最上面那一排圆形。硬盘格式化后，被分割成了很多个小块，就像蜂巢一样，一个个的小房间，就是上图中间部分的长方块，这个小房间才是真正存放数据的地方，最下面的数字，是房间号，也就是inode号。如果我们要使用文件A，在最上面的目录里面就能很快的知道文件A在1号房间。
➤什么情况下，被误删的数据能恢复
误删情况发生后，第一重要的事情就是卸载误删数据所在的分区，而不是关机，绝对不能关机，为什么？现在所有的系统优化，其本质就是把硬盘IO转换成内存IO，就是把本该到硬盘里面去读写的内容，提前预载到内存里面去。你若正常关机，redis持久化的数据，可能有好几个G，mysql的InnoDB_Buffer_Pool缓冲池里面的东西（可能有好几十个G），这些东西往硬盘里面一写，你还想恢复数据，等我发明时光机吧。为什么说马上卸载分区，数据就能恢复。看下图，rm -rf删除了A文件。

其实，系统只是删除了目录里面的文件指向，文件A还好好的趟在1号房间里面。所以这种情况，文件是能很轻松的恢复的。
➤什么情况下，被误删的数据不能恢复
承接上一张图，目录里面显示1号房间是空的，可以重新放数据进去，若此时，硬盘又接收到写入请求(比方说你脑抽，把数据恢复软件安装到了误删数据所在的分区)，就会把数据写入1号房间：

此时，你若还想恢复数据，只能等我发明时光机了。

extundelete恢复举例

extundelete可以恢复ext3、ext4文件系统下被误删的文件，看其恢复原理xfs文件系统应该也是可以恢复的。

安装extundelete
在安装extundelete前，需要安装e2fsprogs和e2fsprogs-libs，自行用yum安装就可以。

[root@dish ~]# rpm -qa |grep e2fsprogs
e2fsprogs-libs-1.41.12-22.el6.x86_64
e2fsprogs-1.41.12-22.el6.x86_64
epel源里面有extundelete，直接安装就行。

[root@dish ~]# yum install extundelete -y
[root@dish ~]# rpm -ql extundelete
/usr/bin/extundelete
/usr/share/doc/extundelete-0.2.4
/usr/share/doc/extundelete-0.2.4/LICENSE
/usr/share/doc/extundelete-0.2.4/README
extundelete常用参数解释
Options:

--superblock 显示超级块信息，默认选项.

--journal 显示日志信息.
--after dtime 表示在某段时间之后被删除的文件或目录.
--before dtime 表示在某段时间之前被删除的文件或目录.
Actions:
--inode ino Show info on inode 'ino'.
--block blk Show info on block 'blk'.
--restore-inode ino[,ino,...]
恢复指定inode号的文件，恢复出来的文件会放在当前目录下的RECOVERED_FILES文件夹中
--restore-file 'path' 恢复指定路径的文件
--restore-files 'path' 恢复在路径中列出的所有文件

--restore-all 尝试恢复所有目录和文件

恢复文件
➤测试文件

[root@dish reco]# for i in A B C D;do echo "this is file$i">$i;done
[root@dish reco]# cat A B C D
this is fileA
this is fileB
this is fileC
this is fileD
[root@dish reco]# find ./ -type f |xargs md5sum >./file.md5
[root@dish reco]# cat file.md5
d41d8cd98f00b204e9800998ecf8427e ./file.md5
c2f9bc9edb959d08dc838af14c5cd8ff ./C
afc688bfcd0666302ed55da472ecfbb8 ./B
0a540f40e1e8c3e5ad50571f1621d5b3 ./A
2c3fdd8c8e23a1ba2d0381981f337348 ./D
[root@dish reco]# rm -rf A B C D
[root@dish reco]# ls
file.md5
➤卸载磁盘分区
发现数据误删后，只做一件事，卸载数据所在分区

[root@dish reco]# cd
[root@dish ~]# umount /dev/vdb1
➤查询可恢复的数据
首先查看数据所在目录reco的inode号

[root@dish ~]# extundelete /dev/vdb1 --inode 2 |grep reco
reco 131073
reco目录的inode号131073

[root@dish ~]# extundelete /dev/vdb1 --inode 131073 |tail
Triple indirect block: 0

File name | Inode number | Deleted status
. 131073
.. 2
A 131074 Deleted
B 131075 Deleted
C 131076 Deleted
D 131077 Deleted
file.md5 131078
如上所示，标记为Deleted状态的就是误删的文件，同时还能看到对应文件的inode值，有了这些，我们就可以恢复文件了。

[root@dish ~]# extundelete /dev/vdb1 --restore-file reco/C
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 160 groups loaded.
Loading journal descriptors ... 2858 descriptors loaded.
Successfully restored file reco/C
[root@dish ~]# extundelete /dev/vdb1 --restore-file reco/D
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 160 groups loaded.
Loading journal descriptors ... 2858 descriptors loaded.
Successfully restored file reco/D
--restore-file 后面的reco/C是个相对路径，其原本的路径是/bak/reco/C，而bak目录挂载的就是/dev/vdb1。文件恢复成功后，会在你执行恢复命令的当前目录生成一个RECOVERED_FILES目录，恢复出来的文件就在里面。

[root@dish ~]# cd RECOVERED_FILES/reco/
[root@dish reco]# md5sum -c file.md5
./C: OK
./B: OK
./A: OK
./D: OK
恢复出来的文件经过MD5校验全通过。恢复成功。

恢复目录
[root@dish reco]# mkdir mulu
[root@dish reco]# cd !$
cd mulu
[root@dish mulu]# touch {01..09}
[root@dish mulu]# ls
01 02 03 04 05 06 07 08 09
[root@dish mulu]# cd ..
[root@dish reco]# rm -rf mulu
[root@dish reco]# cd
[root@dish ~]# r umount
umount /dev/vdb1
[root@dish ~]# extundelete /dev/vdb1 --restore-directory /reco/mulu
NOTICE: Extended attributes are not restored.
Loading filesystem metadata ... 160 groups loaded.
Loading journal descriptors ... 2857 descriptors loaded.
Searching for recoverable inodes in directory /reco/mulu ...
10 recoverable inodes found.
Looking through the directory structure for deleted files ...
2 recoverable inodes still lost.
[root@dish reco]# ls mulu/
01 02 03 04 05 06 07 08
目录被成功恢复，注意，目录里面的空文件是无法恢复的，09就是一个空文件。

恢复所有文件
需要恢复的文件数量过多的时候，可以用这个选项。

[root@dish tmp]# extundelete /dev/vdb1 --restore-all
恢复某个时间点之后删除的文件
这个应该是用的最多的场景了，比方说需要恢复一个小时内被删除的文件。

extundelete --after `echo $(date +%s)-3600 |bc` --restore-all /dev/vdb1
一个小时3600秒，根据自己需求修改上面的减数。

原创文章，笛声

评价: 这个话题有价值吗? 没有 (0分) 有, 感谢 (0分)

2017-12-10 14:32:49 1

1 (总1页)

AMH社区列表