推薦：10年技術(shù)力作：《高性能Linux服務(wù)器構(gòu)建實戰(zhàn)Ⅱ》全網(wǎng)發(fā)行，附試讀章節(jié)和全書實例源碼下載！

一、“rm –rf”帶來的困惑

國外一份非常著名的Linux系統(tǒng)管理員守則中有這么一條“慎用 rm –rf 命令，除非你知道此命令將帶來什么后果”，可見，這個命令對系統(tǒng)管理員的重要性。在實際的工作中，由此命令帶來的誤刪除數(shù)據(jù)案例屢見不鮮，很多系統(tǒng)管理員都遇到過或者犯過這樣的錯誤。由于開發(fā)人員對命令的不熟悉，或者粗心大意、疏于管理，執(zhí)行了此命令，數(shù)據(jù)在一瞬間就被清空了。Linux不具備類似回收站的功能，這就意味著數(shù)據(jù)丟失。雖然Linux自身提供了恢復(fù)數(shù)據(jù)的機(jī)制，但是這個功能基本沒用，要恢復(fù)數(shù)據(jù)，通過常規(guī)手段是無法完成的，此時，只有找專業(yè)的數(shù)據(jù)恢復(fù)公司來恢復(fù)數(shù)據(jù)，這樣無疑要付出很大的成本和費(fèi)用，造成無法估量的的損失。

可見，作為系統(tǒng)管理員，一定要有數(shù)據(jù)安全意識，數(shù)據(jù)保護(hù)意識，嚴(yán)格遵守相關(guān)維護(hù)守則，將這種失誤帶來的損失降低到最低。幸運(yùn)的是，Linux下提供了一款開源軟件恢復(fù)誤刪的數(shù)據(jù)，利用這個ext3文件系統(tǒng)數(shù)據(jù)恢復(fù)工具ext3grep可以恢復(fù)誤刪除的數(shù)據(jù)。

二、 ext3grep的安裝與使用

ext3grep是一個開源的ext3文件系統(tǒng)反刪除工具，在ext3grep出現(xiàn)之前，數(shù)據(jù)被刪除后，通過常規(guī)手段恢復(fù)基本是不可能的，雖然debugfs命令可以對ext2文件系統(tǒng)做一些恢復(fù)，但是對ext3文件系統(tǒng)就無能為力了。ext3是一個日志型文件系統(tǒng)，ext3grep正是通過分析ext3文件系統(tǒng)的日志信息來恢復(fù)被刪除的文件和數(shù)據(jù)的。

操作系統(tǒng)環(huán)境：CentOS release 6.4。

ext3grep版本：ext3grep-0.10.1。

ext3grep官方網(wǎng)站：http://code.google.com/p/ext3grep/，可以從這里下載最新的ext3grep版本。這里下載的是ext3grep-0.10.1.tar.gz。

所需的系統(tǒng)相關(guān)包：

1 2 3 4

[root@localhost?~]#?rpm?-qa?|grep?e2fsprogs e2fsprogs-1.41.12-21.el6.x86_64 e2fsprogs-libs-1.41.12-21.el6.x86_64 e2fsprogs-devel-1.41.12-21.el6.x86_64

系統(tǒng)必須要安裝e2fsprogs-libs，不然后面ext3grep的安裝會出現(xiàn)問題。

下面進(jìn)入編譯安裝階段，過程如下：

1 2 3 4 5 6

[root@localhost?/opt]#?tar?zxvf?ext3grep-0.10.1.tar.gz [root@localhost?ext3grep-0.10.1]#?./configure [root@localhost?ext3grep-0.10.1]#?make [root@localhost?ext3grep-0.10.1]#?make?install [root@localhost?ext3grep-0.10.1]#?ext3grep??-v Running?ext3grep?version?0.10.1

這樣，ext3grep就安裝完成了，默認(rèn)的ext3grep命令放在/usr/local/bin目錄下。ext3grep的使用非常簡單，這里不做介紹，可以通過“ext3grep ?--help”獲取詳細(xì)的使用幫助。

三、通過ext3grep恢復(fù)誤刪除的文件與目錄

1、數(shù)據(jù)恢復(fù)準(zhǔn)則

當(dāng)發(fā)現(xiàn)某個分區(qū)的數(shù)據(jù)被誤刪除后，要做的第一件事是立刻卸載被誤刪除文件所在的分區(qū)，或者重新以只讀方式掛載此分區(qū)。

這么做的原因其實很簡單：刪除一個文件，就是中文件inode節(jié)點中的扇區(qū)指針清除，同時，釋放這些數(shù)據(jù)對應(yīng)的數(shù)據(jù)塊，而真實的文件還存留在磁盤分區(qū)中，但是這些被刪除的文件不一定會一直存留在磁盤中，當(dāng)這些釋放的數(shù)據(jù)塊被操作系統(tǒng)重新分配時，那些被刪除的數(shù)據(jù)就會被覆蓋，因此，在數(shù)據(jù)誤刪除后，馬上卸載文件所在分區(qū)可以降低數(shù)據(jù)塊中數(shù)據(jù)被覆蓋的風(fēng)險，進(jìn)而提高成功恢復(fù)數(shù)據(jù)的機(jī)率。

2、實戰(zhàn)ext3grep恢復(fù)文件

（1）．模擬數(shù)據(jù)誤刪除環(huán)境

下面通過一個模擬環(huán)境，詳細(xì)介紹利用ext3grep恢復(fù)數(shù)據(jù)文件的過程。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

[root@localhost?/]#?mkdir?/disk??#建立一個掛載點 [root@localhost?/]#?cd?/mydata [root@localhost?mydata]#?dd?if=/dev/zero??of=/mydata/disk1??count=102400??#模擬磁盤分 #區(qū)，創(chuàng)建一個空設(shè)備 102400+0?records?in 102400+0?records?out 52428800?bytes?(52?MB)?copied,?1.20597?seconds,?43.5?MB/s [root@localhost?mydata]#?mkfs.ext3?/mydata/disk1??#將空設(shè)備格式化為ext3格式 [root@localhost?mydata]#?mount?-o?loop?/mydata/disk1??/disk??#掛載設(shè)備到/disk目錄下 [root@localhost?mydata]#?cd?/disk/ [root@localhost?disk]#?cp?/etc/profile??/disk???????????#復(fù)制文件到模擬磁盤分區(qū) [root@localhost?disk]#?cp?/boot/initrd-2.6.18-164.11.1.el5xen.img??/disk [root@localhost?disk]#?echo?"ext3grep??test">ext3grep.txt?? [root@localhost?disk]#?mkdir??/disk/ext3grep???? [root@localhost?disk]#?cp?/etc/hosts??/disk/ext3grep [root@localhost?disk]#?pwd /disk [root@localhost?disk]#?ls?-al 總計?2512 drwxr-xr-x??4?root?root????4096?04-07?16:46?. drwxr-xr-x?31?root?root????4096?04-07?16:45?.. drwxr-xr-x??2?root?root????4096?04-07?16:46?ext3grep -rw-r--r--??1?root?root??????14?04-07?16:31?ext3grep.txt -rw-------??1?root?root?2535991?04-07?16:30?initrd-2.6.18-164.11.1.el5xen.img drwx------??2?root?root????4096?04-07?16:33?lost+found -rw-r--r--??1?root?root????1029?04-07?16:30?profile [root@localhost?disk]#?md5sum??profile??#獲取文件校驗碼 a6e82d979bb95919082d9aceddf56c39?profile [root@localhost?disk]#?md5sum?initrd-2.6.18-164.11.1.el5xen.img??? 031226080e00d7f312b1f95454e5a1ff??initrd-2.6.18-164.11.1.el5xen.img [root@localhost?disk]#?md5sum??ext3grep.txt 5afe55495cdb666daad667e1cd797dcb??ext3grep.txt [root@localhost?disk]#?rm?-rf?/disk/*??#模擬誤刪除數(shù)據(jù)操作 [root@localhost?disk]#?ls （2）．卸載磁盤分區(qū) 執(zhí)行以下命令卸載磁盤分區(qū)： [root@localhost?disk]#?cd?/opt?#切換到/opt目錄下 [root@localhost?/opt]#?umount?/disk??#卸載模擬磁盤分區(qū) （3）．查詢恢復(fù)數(shù)據(jù)信息 執(zhí)行如下命令，查詢需要恢復(fù)的數(shù)據(jù)信息： [root@localhost?/opt]#?ext3grep??/mydata/disk1??--ls?--inode?2

執(zhí)行該命令后，ext3grep就開始搜索可以恢復(fù)的數(shù)據(jù)文件信息，輸出下圖所示。

“ext3grep ?/mydata/disk1 ?--ls --inode 2”主要用于掃描當(dāng)前文件系統(tǒng)下所有文件的信息，包括存在的和已經(jīng)刪除的文件，其中含有D標(biāo)識的就是已被刪除的文件，如果不記得被刪除的文件的名稱，可以通過這種方式來獲取要恢復(fù)的文件的名稱。

通過下面的方式可以獲取文件要恢復(fù)的路徑信息。

1 2 3 4 5 6 7 8 9 10 11 12 13 14

[root@localhost?/opt]#?ext3grep??/mydata/disk1??--dump-names Running?ext3grep?version?0.10.1 Number?of?groups:?7 Minimum?/?maximum?journal?block:?447?/?4561 Loading?journal?descriptors...?sorting...?done The?oldest?inode?block?that?is?still?in?the?journal,?appears?to?be?from?1270629014?=?Wed?Apr??7?16:30:14?2010 Number?of?descriptors?in?journal:?63;?min?/?max?sequence?numbers:?2?/?10 Loading?disk1.ext3grep.stage2...?done ext3grep ext3grep.txt ext3grep/hosts initrd-2.6.18-164.11.1.el5xen.img lost+found profile

（4）．恢復(fù)單個文件

如果要恢復(fù)被刪除的某個文件，通過下面方式即可。

1 2 3 4 5 6 7 8 9 10

[root@localhost?/opt]#?ext3grep??/mydata/disk1??--restore-file??ext3grep.txt Running?ext3grep?version?0.10.1 Number?of?groups:?7 Minimum?/?maximum?journal?block:?447?/?4561 Loading?journal?descriptors...?sorting...?done The?oldest?inode?block?that?is?still?in?the?journal,?appears?to?be?from?1270629014?=?Wed?Apr??7?16:30:14?2010 Number?of?descriptors?in?journal:?63;?min?/?max?sequence?numbers:?2?/?10 Writing?output?to?directory?RESTORED_FILES/ Loading?disk1.ext3grep.stage2...?done Restoring?ext3grep.txt

由上面的輸出可知，被刪除的文件ext3grep.txt已經(jīng)成功恢復(fù)。那么恢復(fù)的數(shù)據(jù)放到哪里了呢？在這段操作中，在/opt目錄下執(zhí)行ext3grep命令，恢復(fù)的數(shù)據(jù)文件就存放在/opt/ RESTORED_FILES目錄下，也就是說ext3grep會在執(zhí)行恢復(fù)命令的當(dāng)前目錄下自動創(chuàng)建一個RESTORED_FILES目錄，這個目錄專門用于存放恢復(fù)的數(shù)據(jù)。

下面是恢復(fù)指定目錄下的某個文件的操作：

1 2 3 4 5 6 7 8 9

[root@localhost?/opt]#?ext3grep??/mydata/disk1??--restore-file??ext3grep/hosts Running?ext3grep?version?0.10.1 Number?of?groups:?7 Minimum?/?maximum?journal?block:?447?/?4561 Loading?journal?descriptors...?sorting...?done The?oldest?inode?block?that?is?still?in?the?journal,?appears?to?be?from?1270629014?=?Wed?Apr??7?16:30:14?2010 Number?of?descriptors?in?journal:?63;?min?/?max?sequence?numbers:?2?/?10 Loading?disk1.ext3grep.stage2...?done Restoring?ext3grep/hosts

這里要注意的是，“--restore-file”后面指定的是恢復(fù)文件路徑，這個路徑應(yīng)該是文件的相對路徑，這里的相對路徑指的是相對指定設(shè)備的路徑，比如，設(shè)備/mydata/disk1的掛載點是/disk，而ext3grep.txt文件就在/disk目錄下，因此直接指定文件名就可以了。如果要恢復(fù)/disk/ext3grep/hosts文件，那么指定的參數(shù)應(yīng)該是“ext3grep/hosts”，也就是上面代碼中所指定的形式。

通過“--restore-inode”參數(shù)，只需指定文件對應(yīng)的inode值即可恢復(fù)文件，操作如下，其中inode值為12的是profile文件：

1 2 3 4 5 6 7 8 9

[root@localhost?RESTORED_FILES]#?ext3grep??/mydata/disk1???--restore-inode?12 Running?ext3grep?version?0.10.1 Number?of?groups:?7 Minimum?/?maximum?journal?block:?447?/?4561 Loading?journal?descriptors...?sorting...?done The?oldest?inode?block?that?is?still?in?the?journal,?appears?to?be?from?1270629014?=?Wed?Apr??7?16:30:14?2010 Number?of?descriptors?in?journal:?63;?min?/?max?sequence?numbers:?2?/?10 Writing?output?to?directory?RESTORED_FILES/ Restoring?inode.12

下面是進(jìn)入RESTORED_FILES目錄，驗證文件是否成功恢復(fù)：

1 2 3 4 5 6 7

[root@localhost?/opt]#?cd?RESTORED_FILES [root@localhost?RESTORED_FILES]#?ls ext3grep??ext3grep.txt??inode.12 [root@localhost?RESTORED_FILES]#?md5sum?ext3grep.txt? 5afe55495cdb666daad667e1cd797dcb??ext3grep.txt [root@localhost?RESTORED_FILES]#?md5sum?inode.12 a6e82d979bb95919082d9aceddf56c39??inode.12

根據(jù)校驗結(jié)果可知，這個校驗碼與文件被刪除之前的校驗碼完全一致，因此，通過這個方式恢復(fù)出來的文件是完整的。

（5）．恢復(fù)所有已刪除數(shù)據(jù)

當(dāng)需要恢復(fù)的文件較少時，通過前面介紹的指定文件的方式進(jìn)行逐個恢復(fù)是可行的，但是如果要恢復(fù)很多個文件，如1000個以上，還采取逐個指定的方式，效率是非常低下的，此時就要利用ext3grep命令的“--restore-all”參數(shù)了，具體操作如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

[root@localhost?/opt]#?ext3grep??/mydata/disk1??--restore-all???????????????? Running?ext3grep?version?0.10.1 Number?of?groups:?7 Minimum?/?maximum?journal?block:?447?/?4561 Loading?journal?descriptors...?sorting...?done The?oldest?inode?block?that?is?still?in?the?journal,?appears?to?be?from?1270629014?=?Wed?Apr??7?16:30:14?2010 Number?of?descriptors?in?journal:?63;?min?/?max?sequence?numbers:?2?/?10 Loading?disk1.ext3grep.stage2...?done Restoring?ext3grep.txt Restoring?ext3grep/hosts Restoring?initrd-2.6.18-164.11.1.el5xen.img Restoring?profile [root@localhost?/opt]#?cd?RESTORED_FILES/ [root@localhost?RESTORED_FILES]#?ls?-al 總計?2512 drwxr-xr-x??4?root?root????4096?04-07?16:46?. drwxr-xr-x?31?root?root????4096?04-07?16:45?.. drwxr-xr-x??2?root?root????4096?04-07?16:46?ext3grep -rw-r--r--??1?root?root??????14?04-07?16:31?ext3grep.txt -rw-------??1?root?root?2535991?04-07?16:30?initrd-2.6.18-164.11.1.el5xen.img drwx------??2?root?root????4096?04-07?16:33?lost+found -rw-r--r--??1?root?root????1029?04-07?16:30?profile

根據(jù)這個輸出可知，“--restore-all”參數(shù)將指定存儲設(shè)備中可以恢復(fù)的文件都恢復(fù)出來并放到了RESTORED_FILES目錄中。“--restore-all”參數(shù)對恢復(fù)大量數(shù)據(jù)文件是非常有用的。

本文轉(zhuǎn)自南非螞蟻51CTO博客，原文鏈接：http://blog.51cto.com/ixdba/1571334?，如需轉(zhuǎn)載請自行聯(lián)系原作者

總結(jié)

以上是生活随笔為你收集整理的ext3文件系统反删除利器ext3grep应用实战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。