extundelete反删除总结

最新推荐文章于 2025-09-18 14:04:54 发布
最新推荐文章于 2025-09-18 14:04:54 发布 · 161 阅读 · 1
文章标签:

#运维

本文介绍extundelete工具,用于ext3/ext4分区的数据恢复。包括安装步骤、使用方法及命令详解,例如按时间戳恢复文件等高级操作。

目录[-]

extundelete反删除总结

一、介绍extundelete

1.extundelete的文件恢复工具,该工具最给力的一点就是支持ext3/ext4双格式分区恢复。

2.在实际线上恢复过程中,切勿将extundelete安装到你误删的文件所在硬盘,这样会有一定几率将需要恢复的数据彻底覆盖。

3. extundelete还是有很大的不完整性,基于整个磁盘的恢复功能较为强大,基于目录和文件的恢复还不够强大

4. extundelete执行完毕后在当前目录生产一个RECOVERED_FILES目录,里面即是恢复出来的文件,还包括文件夹。

5.任何的文件恢复工具,在使用前,均要将要恢复的分区卸载或挂载为只读,防止数据被覆盖使用。

umount /dev/partition

mount -o remount,ro /dev/partition

6.保持良好的习惯,绝对比恢复数据要更简单。

二、安装

0.yum install e2fsprogs* e2fslibs* -y

1.wgethttp://nchc.dl.sourceforge.net/project/extundelete/extundelete/0.2.4/extundelete-0.2.4.tar.bz2

2.tar -axf extundelete-0.2.4.tar.bz2 -C /usr/local/src

3.cd /usr/local/src/extundelete-0.2.4

4../configure --prefix=/usr/local/extundelete

5.make

6.make install

7.ln -s /usr/local/extundelete/bin/* /usr/local/bin/

三、使用及命令

1. umount或者readonly分区

umount /dev/partition

mount -o remount,ro /dev/partition

2.切换到存储恢复文件的目录

cd $dir

3.命令

Usage:extundelete [options] [--] device-file

Options:

--superblock打印指定分区的超级块信息。如不加任何的参数,

此选项是默认的.

extundelete --superblock /dev/sda3 <---> extundelete /dev/sda1

--journal显示块的日志信息,同--superblock

extundelete --journal /dev/sda1

--after dtime只恢复指定时间【dtime】(时间戳)之后,被删除的数据

假如删除的时间大概是2011-7-26 1430

date -d "Jul 26 14:30" +%s

得出秒数1234567890

恢复此时间后删除的所有文件

extundelete /dev/sdb1 --after 1234567890 --restore-all

--before dtime只恢复指定时间【dtime】(时间戳)之前,被删除的数据

Actions:

--inode ino显示某分区inodex的信息,一般是查看该分区下所有的文件.

extundelete --inode 2 /dev/sda1

--block blk显示某分区blockx的信息.

--restore-inode ino[,ino,...]恢复一个或多个指定inode号的文件,该恢复的文件,

保存在当前目录下的RECOVERED_FILES里,文件名为【file.$inode

extundelete /dev/sda1 --restore-inode 13,14

--restore-file 'filename'恢复指定的文件(被删除的),文件位于当前目录下

RECOVERED_FILES/$filename,文件名还是原来的

extundelete /dev/sda1 --restore-file initramfs-2.6.32-358.el6.x86_64.img

--restore-files 'read_filename'恢复指定的文件(真实存在的)中的内容,

文件位于当前目录下的RECOVERED_FILES/$filename,文件名还是原来的

vi test_restore.txt(结尾不可有多余的空格)

System.map-2.6.32-358.el6.x86_64

config-2.6.32-358.el6.x86_64

symvers-2.6.32-358.el6.x86_64.gz

vmlinuz-2.6.32-358.el6.x86_64

initramfs-2.6.32-358.el6.x86_64.img

extundelete /dev/sda1--restore-files test_restore.txt

--restore-directory 'dir-name'恢复指定的目录,文件位于当前目录下的

RECOVERED_FILES/$dir-name,文件名还是原来的

extundelete /dev/sda1--restore-files grub

--restore-all恢复某分区里所有被删除的数据,文件名还是原来的

extundelete /dev/sda1--restore-all

4.

--superblock


--journal


--after dtime

假如删除的时间大概是2011-7-26 1430

date -d "Jul 26 14:30" +%s

得出秒数1234567890

恢复此时间后删除的所有文件

/usr/local/bin/extundelete /dev/sdb1--after1234567890 --restore-all


--before dtime


--inode



--restore-inode ino[,ino,...]


--restore-file 'filename'


--restore-files 'read_filename'


--restore-directory 'dir-name'


--restore-all

iteye_14984
关注
通过extundelete实现CentOS6 ext4文件系统误删除文件的恢复
z19861216的博客
05-30 2166
通过extundelete实现CentOS6 ext4文件系统误删除文件的恢复
恢复 Linux 上已删除的文件:extundelete 、PhotoRec (***)
ken2232的博客
03-23 1541
恢复 Linux 上已删除的文件:extundelete 、PhotoRec (***)
【RHEL/CentOS 运维必备】extundelete:误删文件 “救命工具”,从原理到实战一篇讲透
2403_88333522的博客
09-18 808
作为 Red Hat Enterprise Linux(RHEL)及衍生版(CentOS、Rocky Linux)的运维,你一定经历过 “手滑删文件” 的恐惧 —— 可能是误删核心配置,也可能是rm *.log不小心删了关键业务日志,更严重的是误删数据库数据文件导致服务宕机。RHEL 系统默认没有 “回收站”,rm命令一旦执行,文件看似 “消失”,但常规手段无法直接恢复。此时就是运维的 “最后一根救命稻草”—— 它专为 RHEL 常用的ext3/ext4。
Linux下高效数据恢复软件extundelete应用实战
weixin_34010566的博客
10-22 767
推荐:10年技术力作:《高性能Linux服务器构建实战Ⅱ》全网发行,附试读章节和全书实例源码下载!作为一名运维人员,保证数据的安全是根本职责,所以在维护系统的时候,要慎之又慎,但是有时难免会出现数据被误删除的情况,在这个时候改如何快速、有效地恢复数据呢?本文我们就来介绍一下Linux系统下常用的几个数据恢复工具。一、如何使用“rm -rf”命令在Linux系统下,通过命令“rm -rf”可以将任何...
Linux下使用extundelete实现文件/文件夹数据恢复
热门推荐
Enweitech Software Works
12-03 1万+
目录[-] 一、介绍extundelete 二、安装 三、使用及命令     1. umount或者read only 分区     2.切换到存储恢复文件的目录     3.命令    4.例     ①--superblock       ②--journal       ③--after dtime     ④--before dtime       ⑤--i
趣味小实验
God_ZY的博客
11-02 264
1.用john工具解密本地弱密码口令。 2.用nmap工具扫描本网段已开机用户、本网段开启22号端口的主机。 3.文件数据分为哪几部分?这些部分包含哪些内容?分别存储在哪些地方? block真正数据内容、inode数据元信息 4.用户如何通过文件名打开文件的? 系统找到这个文件名对应的inode号码 通过inode号码,获取inode信息 根据inode信息,找到文件数据所在的block,读出数据 5.写出查看文件inode节点的方法。
数据删除恢复
03-30
lsof适用于文件被删除但仍有进程在访问的情况,而extundelete则是通过文件系统日志恢复。我需要详细解释这两种方法,包括它们的原理、使用步骤以及注意事项。 然后,根据用户的要求,生成相关问题。我需要确保问题...
Linux按照名字删除文件
最新发布
09-19
嗯,用户需要了解在Linux系统中按文件名删除文件的方法... extundelete /dev/sda1 --restore-file filename # 需立即卸载分区 ``` > 通过结合路径限定、通配符转义和二次确认机制,可显著降低误删风险[^1][^3][^4]。
BAD file:如何删除
08-28
- 使用 `extundelete` 等工具恢复 --- ### 操作示例 ```bash # 创建测试文件 touch 'BAD file:' # 安全删除(带确认) rm -i BAD\ file\: # 确认结果 ls | grep 'BAD file:' ``` --- ### 相关问题 1. 如何...
linux终端删除某目录下的所有内容
03-31
好的,我现在需要帮助用户解决如何在Linux终端删除某目录下的所有内容。首先,用户可能遇到了需要清理目录的情况,...**总结**:优先使用 `find` 或 `trash-cli` 安全删除,谨慎使用 `rm -rf`。删除前务必确认路径!
extundelete
commasx的博客
03-02 1310
主要是针对ext4 Linux下执行 rm 并不会真正删除,而是将inode节点中的扇区删除,同时释放数据块。在数据块被系统重新分配前,这部分数据还是可以找回来的。 网上说在删除文件后要立即unmount这个分区,这样做其实是为了让外界不再写入,我们也可以设置为readonly模式代替。当然,如果为了不影响其它应用的运行,也可以不做unmount。在系统未将删除文件的 inode分配出去...
Linux运维养成记-数据恢复软件 extundelete
weixin_45181224的博客
10-11 668
目录1. 如何使用 rm 命令2. extundelete 介绍3. 安全extundelete4. extundelete用法详解5. extundelete 实战5.1 模拟数据误删5.2 卸载磁盘分区5.3 查询可恢复的数据信息5.4 恢复单个文件5.5 恢复单个目录5.6 恢复所有误删数据5.7 恢复某个时间段的数据 1. 如何使用 rm 命令 在生产环境中尽量避免使用rm命令,可以用过m...
linux下文件恢复工具extundelete介绍
suheng1的博客
06-08 6398
1. 文件恢复说明 Linux下删除文件并不是真实的删除磁盘分区中的文件,而是将文件的inode节点中的扇区指针清除,同时释放这些数据对应的数据块,当释放的数据块被系统重新分配时,那些被删除的数据就会被覆盖,所以误删除数据后,应马上卸载文件所在的分区。 每个文件有inode和block组成,inode是文件系统组成的最基本单元,它保存着文件的基本属性(大小、权限、属主组等)和存放的位置信息。而block用来存储数据。类似key-value,inode就是key,block对应value,通过key查找key
linux实现数据恢复 extundelete
weixin_33910385的博客
11-28 310
extundelete,可以实现对ext3 ext4等基于Linux分区的数据修复 试验环境 centos-5.5 实验软件 e2fsprogs e2fsprogs-devel extundelete-0.2.0.tar.bz2 软件安装 yum -y install e2fsprogs e2fsprogs-devel tar jxf extunde...
extundelete恢复ext4的文件
weixin_34387468的博客
05-03 259
前提先新增一块硬盘并创建ext4文件系统:fdisk /dev/sdb----->mkfs.ext4 [root@192 ~]# tar -jxf extundelete-0.2.4.tar.bz2 [root@192 ~]# cd extundelete-0.2.4/[root@192 extundelete-0.2.4]# yum -y install e2fsprogs-devel[r...
删除恢复 (extundelete
msun96的博客
02-19 2101
了解误删除恢复原理,并使用extundelete进行ext洗头文件的误删除后恢复
linux下extundelete恢复ext4删除的文件
魂醉的一亩二分地
12-04 5122
linux文件组成: 文件名, inode(存放元数据), block(存放具体数据) 用stat命令可以看到文件相关的权限以及inode等信息 stat passwd    File: `passwd'   Size: 1876            Blocks: 8          IO Block: 4096   regular file Device: fd00h/64768
extundelete恢复删除文件已放弃
02-25
### 解决extundelete恢复已删除文件时提示已放弃的原因及解决方案 #### 原因分析 当使用 `extundelete` 工具尝试恢复已删除文件时,如果遇到“已放弃”的错误提示,通常是因为以下几个原因: - 文件系统已被修改或有新的数据写入。这可能导致原本被标记为可恢复的数据块已经被覆盖[^1]。 - 日志卷中的日志记录不完整或损坏。例如,在执行恢复操作之前未正确卸载逻辑卷 (LV),可能会导致文件系统元数据受损[^2]。 #### 解决策略 为了提高成功恢复的可能性并解决上述问题,可以采取以下措施: 1. **立即停止任何可能影响目标分区的操作** 尽量减少对包含待恢复文件的磁盘分区的一切读写活动,防止新数据进一步破坏原有结构。 2. **确保文件系统一致性** 在进行恢复前,建议先通过 `umount` 卸载相关设备,并利用 `e2fsck -f` 对 LV 的文件系统进行全面检测修复: ```bash umount /dev/vgdata/LogVol00 e2fsck -f /dev/vgdata/LogVol00 ``` 3. **备份现有状态** 创建整个磁盘镜像作为安全副本,以便即使初次恢复失败也能再次尝试其他方法而不丢失更多机会。 4. **调整参数重新运行extundelete** 如果默认设置无法完成任务,则可以根据具体情况调整命令选项来优化查找范围;比如指定特定时间戳区间内的变更记录等特性功能: ```bash extundelete --after YYYY-MM-DD_HH:MM:SS /dev/vgdata/LogVol00 --restore-directory var/lib/MySQL/aqsh/ ``` 5. **考虑第三方工具辅助** 当常规手段难以奏效时,不妨探索一些更专业的商业级软件产品,它们往往具备更强健的数据挖掘算法以及图形界面支持,有助于提升找回几率。 6. **预防为主** 定期做好重要资料的异地冗余保存工作,建立完善的灾难恢复预案机制,从根本上规避此类风险事件的发生概率。 ```python import os def check_file_system(device_path): """Check and repair file system on specified device.""" unmount_command = f"umount {device_path}" fs_check_command = f"e2fsck -f {device_path}" try: os.system(unmount_command) result = os.popen(fs_check_command).read() print(result) except Exception as error_message: print(f"An exception occurred while checking the filesystem: {error_message}") if __name__ == "__main__": device_to_inspect = "/dev/vgdata/LogVol00" check_file_system(device_to_inspect) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值