如何在 Linux 中恢復仍在活動進程中的已刪除文件

許多情況下，刪除的文件都可以恢復，比如在該文件有活動的進程在操作它，並且目前被單個或多個用戶使用時。在 Linux 系統中，每個當前正在運行的進程都會獲得 ID，其被稱之為進程標識符 「PID」，並將它們存放在 /proc 目錄中。這正是我們恢復仍在運行的進程中（具有PID）已刪除的文件所需要的東西。這裡就是介紹我們如何做到這一點的。

假設你打開了一個壓縮文件，之後你刪除了這個文件。為了演示目的，壓縮文件稱為 「opengapps.zip」，這將是之後我們將打開和刪除的文件。

計算原始文件的 MD5 哈希

刪除之前，我們將計算該文件的 MD5。這樣我們可以將原來的 MD5 哈希值與恢復文件的 MD5 哈希進行比較。這個過程將保證我們恢復的壓縮文件的完整性是一樣的，它沒有被破壞。

md5sum opengapps.zip >> md5-opengapps.txt

要顯示文本文件的內容。

cat md5-opengapps.txt

86489b68b40d144f0e00a0ea8407f7c0  opengapps.zip

檢查壓縮文件的 MD5 哈希值之後。我們將壓縮文件保持打開（LCTT 譯註：此處是使用 file-roller 這個圖形界面的解壓程序保持對該壓縮文件的打開，其內置在 GNOME 環境中；在桌面環境中，使用桌面工具打開一個壓縮包也能起到同樣的作用。又及，本文舉例不是很恰當，如果是刪除了某個服務進程的已經打開的配置文件，那麼這種恢復就很有意義），並將其刪除。之後，我們將從文件的恢復過程開始，步驟如下：

rm opengapps.zip

刪除文件的恢復過程

正如我們前面提到的，運行的進程在 /proc 目錄中。我們可以使用以下命令搜索該目錄中需要的進程：

由於我們已經知道文件名包括 .zip 擴展名，因此我們可以使用 .zip 擴展名進行搜索。它將限制輸出結果並顯示所需的進程。

ps -axu | grep .zip

m        13119  0.8  1.0 121788 30788 ?        Sl   06:17   0:00 file-roller /home/m/Downloads/Compressed/opengapps.zip
m        13164  0.0  0.0   5108   832 pts/20   S+   06:18   0:00 grep --color=auto .zip

然後我們將進入到包含 PID 13119 的目錄並打開 fd 子目錄。

cd /proc/13119/fd

fd （文件描述符）目錄包含多個文件，包括我們需要恢復的文件。該文件以硬鏈接的方式鏈接到原始文件。 fd 目錄中的所有文件都以數字鏈接到「文件名」。因此，要確定這些文件中的哪一個鏈接到該原始文件，我們將用詳細列表選項列出 /fd 目錄。

ls -l

total 0
lr-x------ 1 m m 64 Jul 14 06:17 0 -> /dev/null
lrwx------ 1 m m 64 Jul 14 06:17 1 -> socket:[26161]
lrwx------ 1 m m 64 Jul 14 06:17 10 -> anon_inode:[eventfd]
lr-x------ 1 m m 64 Jul 14 06:17 11 -> anon_inode:inotify
lrwx------ 1 m m 64 Jul 14 06:17 12 -> socket:[5752671]
lr-x------ 1 m m 64 Jul 14 06:17 13 -> /home/m/Downloads/Compressed/opengapps.zip (deleted)
lrwx------ 1 m m 64 Jul 14 06:17 2 -> socket:[26161]
lrwx------ 1 m m 64 Jul 14 06:17 3 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 4 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 5 -> socket:[5751361]
lrwx------ 1 m m 64 Jul 14 06:17 6 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 7 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 8 -> socket:[5751363]
lrwx------ 1 m m 64 Jul 14 06:17 9 -> socket:[5751365]

正如你在終端輸出中看到的，原始文件 「opengapps.zip」 已被刪除，但它仍然鏈接到一個文件名 13，其進程 PID 13119。但是，我們仍然可以通過將鏈接的文件複製到安全的地方來恢復它。

cp 13 /home/m/Downloads/Compressed

文件複製後。我們將返回包含恢復文件的目錄，並使用以下命令重命名它。

mv 13 opengapps-recovered.zip

計算恢復文件的 MD5 哈希

由於我們已經恢復了該文件。讓我們檢查該文件的完整性，這只是為了確保文件沒有損壞，並且和原來一樣。早先我們保存了原始文件的 MD5 哈希值。

md5sum opengapps-recovered.zip >> md5-opengapps.txt

該命令將檢查文件的 MD5 哈希值，並在文件中追加新恢復文件的 MD5 哈希值，以輕鬆比較兩個 MD5 哈希值。

可以顯示文本文件的內容來比較原始文件和恢復文件的 MD5 哈希值。

cat md5-opengapps.txt

86489b68b40d144f0e00a0ea8407f7c0  opengapps.zip
86489b68b40d144f0e00a0ea8407f7c0  opengapps-recovered.zip

恢復文件的 MD5 哈希是一樣的。所以，我們成功地恢復了我們以前刪除的文件，並且恢復後文件完整性一致，並且工作正常。

注意： 在某些情況下，某些文件無法通過 ps -axu 命令看到。 所以，嘗試檢查運行的程序，並從中恢復文件。

假設我們有一個使用 Totem 媒體播放器播放中的以 .avi 為擴展名的視頻。你需要做的就是檢查 Totem 的 PID，並按照本示例中提到的相同說明進行操作。

要查找正在運行的程序的 PID，請使用以下命令，後面跟程序的名稱。

pidof 程序名

通過分享支持我們。

via: http://www.linuxnov.com/recover-deleted-files-still-running-active-processes-linux/

作者：mhnassif 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive