Linux中恢復仍在活動程序中的已刪除檔案!
許多情況下,刪除的檔案都可以恢復,比如在該檔案有活動的程序在操作它,並且目前被單個或多個使用者使用時。在 Linux 系統中,每個當前正在執行的程序都會獲得 ID,其被稱之為程序識別符號 “PID”,並將它們存放在 /proc 目錄中。這正是我們恢復仍在執行的程序中(具有PID)已刪除的檔案所需要的東西。這裡就是介紹我們如何做到這一點的。 |
假設你打開了一個壓縮檔案,之後你刪除了這個檔案。為了演示目的,壓縮檔案稱為 “opengapps.zip”,這將是之後我們將開啟和刪除的檔案。
計算原始檔案的 MD5 雜湊刪除之前,我們將計算該檔案的 MD5。這樣我們可以將原來的 MD5 雜湊值與恢復檔案的 MD5 雜湊進行比較。這個過程將保證我們恢復的壓縮檔案的完整性是一樣的,它沒有被破壞。
md5sum opengapps.zip >> md5-opengapps.txt
要顯示文字檔案的內容。
cat md5-opengapps.txt 86489b68b40d144f0e00a0ea8407f7c0 opengapps.zip
檢查壓縮檔案的 MD5 雜湊值之後。我們將壓縮檔案保持開啟(LCTT 譯註:此處是使用 file-roller 這個圖形介面的解壓程式保持對該壓縮檔案的開啟,其內建在 GNOME 環境中;在桌面環境中,使用桌面工具開啟一個壓縮包也能起到同樣的作用。又及,本文舉例不是很恰當,如果是刪除了某個服務程序的已經開啟的配置檔案,那麼這種恢復就很有意義),並將其刪除。之後,我們將從檔案的恢復過程開始,步驟如下:
rm opengapps.zip
刪除檔案的恢復過程
正如我們前面提到的,執行的程序在 /proc 目錄中。我們可以使用以下命令搜尋該目錄中需要的程序:
由於我們已經知道檔名包括 .zip 副檔名,因此我們可以使用 .zip 副檔名進行搜尋。它將限制輸出結果並顯示所需的程序。
ps -axu | grep .zip m 13119 0.8 1.0 121788 30788 ? Sl 06:17 0:00 file-roller /home/m/Downloads/Compressed/opengapps.zip m 13164 0.0 0.0 5108 832 pts/20 S+ 06:18 0:00 grep --color=auto .zip
然後我們將進入到包含 PID 13119 的目錄並開啟 fd 子目錄。
cd /proc/13119/fd
fd (檔案描述符)目錄包含多個檔案,包括我們需要恢復的檔案。該檔案以硬連結的方式連結到原始檔案。 fd 目錄中的所有檔案都以數字連結到“檔名”。因此,要確定這些檔案中的哪一個連結到該原始檔案,我們將用詳細列表選項列出 /fd 目錄。
ls -l total 0 lr-x------ 1 m m 64 Jul 14 06:17 0 -> /dev/null lrwx------ 1 m m 64 Jul 14 06:17 1 -> socket:[26161] lrwx------ 1 m m 64 Jul 14 06:17 10 -> anon_inode:[eventfd] lr-x------ 1 m m 64 Jul 14 06:17 11 -> anon_inode:inotify lrwx------ 1 m m 64 Jul 14 06:17 12 -> socket:[5752671] lr-x------ 1 m m 64 Jul 14 06:17 13 -> /home/m/Downloads/Compressed/opengapps.zip (deleted) lrwx------ 1 m m 64 Jul 14 06:17 2 -> socket:[26161] lrwx------ 1 m m 64 Jul 14 06:17 3 -> anon_inode:[eventfd] lrwx------ 1 m m 64 Jul 14 06:17 4 -> anon_inode:[eventfd] lrwx------ 1 m m 64 Jul 14 06:17 5 -> socket:[5751361] lrwx------ 1 m m 64 Jul 14 06:17 6 -> anon_inode:[eventfd] lrwx------ 1 m m 64 Jul 14 06:17 7 -> anon_inode:[eventfd] lrwx------ 1 m m 64 Jul 14 06:17 8 -> socket:[5751363] lrwx------ 1 m m 64 Jul 14 06:17 9 -> socket:[5751365]
正如你在終端輸出中看到的,原始檔案 “opengapps.zip” 已被刪除,但它仍然連結到一個檔名 13,其程序 PID 13119。但是,我們仍然可以通過將連結的檔案複製到安全的地方來恢復它。
cp 13 /home/m/Downloads/Compressed
檔案複製後。我們將返回包含恢復檔案的目錄,並使用以下命令重新命名它。
mv 13 opengapps-recovered.zip
計算恢復檔案的 MD5 雜湊
由於我們已經恢復了該檔案。讓我們檢查該檔案的完整性,這只是為了確保檔案沒有損壞,並且和原來一樣。早先我們儲存了原始檔案的 MD5 雜湊值。
md5sum opengapps-recovered.zip >> md5-opengapps.txt
該命令將檢查檔案的 MD5 雜湊值,並在檔案中追加新恢復檔案的 MD5 雜湊值,以輕鬆比較兩個 MD5 雜湊值。
可以顯示文字檔案的內容來比較原始檔案和恢復檔案的 MD5 雜湊值。
cat md5-opengapps.txt 86489b68b40d144f0e00a0ea8407f7c0 opengapps.zip 86489b68b40d144f0e00a0ea8407f7c0 opengapps-recovered.zip
恢復檔案的 MD5 雜湊是一樣的。所以,我們成功地恢復了我們以前刪除的檔案,並且恢復後文件完整性一致,並且工作正常。
注意: 在某些情況下,某些檔案無法通過 ps -axu 命令看到。 所以,嘗試檢查執行的程式,並從中恢復檔案。
假設我們有一個使用 Totem 媒體播放器播放中的以 .avi 為副檔名的視訊。你需要做的就是檢查 Totem 的 PID,並按照本示例中提到的相同說明進行操作。
要查詢正在執行的程式的 PID,請使用以下命令,後面跟程式的名稱。
pidof 程式名