Linux中國

如何在 Linux 中恢復仍在活動進程中的已刪除文件

許多情況下,刪除的文件都可以恢復,比如在該文件有活動的進程在操作它,並且目前被單個或多個用戶使用時。在 Linux 系統中,每個當前正在運行的進程都會獲得 ID,其被稱之為進程標識符 「PID」,並將它們存放在 /proc 目錄中。這正是我們恢復仍在運行的進程中(具有PID)已刪除的文件所需要的東西。這裡就是介紹我們如何做到這一點的。

假設你打開了一個壓縮文件,之後你刪除了這個文件。為了演示目的,壓縮文件稱為 「opengapps.zip」,這將是之後我們將打開和刪除的文件。

計算原始文件的 MD5 哈希

刪除之前,我們將計算該文件的 MD5。這樣我們可以將原來的 MD5 哈希值與恢復文件的 MD5 哈希進行比較。這個過程將保證我們恢復的壓縮文件的完整性是一樣的,它沒有被破壞。

md5sum opengapps.zip >> md5-opengapps.txt

要顯示文本文件的內容。

cat md5-opengapps.txt

86489b68b40d144f0e00a0ea8407f7c0  opengapps.zip

檢查壓縮文件的 MD5 哈希值之後。我們將壓縮文件保持打開(LCTT 譯註:此處是使用 file-roller 這個圖形界面的解壓程序保持對該壓縮文件的打開,其內置在 GNOME 環境中;在桌面環境中,使用桌面工具打開一個壓縮包也能起到同樣的作用。又及,本文舉例不是很恰當,如果是刪除了某個服務進程的已經打開的配置文件,那麼這種恢復就很有意義),並將其刪除。之後,我們將從文件的恢復過程開始,步驟如下:

rm opengapps.zip

刪除文件的恢復過程

正如我們前面提到的,運行的進程在 /proc 目錄中。我們可以使用以下命令搜索該目錄中需要的進程:

由於我們已經知道文件名包括 .zip 擴展名,因此我們可以使用 .zip 擴展名進行搜索。它將限制輸出結果並顯示所需的進程。

ps -axu | grep .zip

m        13119  0.8  1.0 121788 30788 ?        Sl   06:17   0:00 file-roller /home/m/Downloads/Compressed/opengapps.zip
m        13164  0.0  0.0   5108   832 pts/20   S+   06:18   0:00 grep --color=auto .zip

然後我們將進入到包含 PID 13119 的目錄並打開 fd 子目錄。

cd /proc/13119/fd

fd (文件描述符)目錄包含多個文件,包括我們需要恢復的文件。該文件以硬鏈接的方式鏈接到原始文件。 fd 目錄中的所有文件都以數字鏈接到「文件名」。因此,要確定這些文件中的哪一個鏈接到該原始文件,我們將用詳細列表選項列出 /fd 目錄。

ls -l

total 0
lr-x------ 1 m m 64 Jul 14 06:17 0 -> /dev/null
lrwx------ 1 m m 64 Jul 14 06:17 1 -> socket:[26161]
lrwx------ 1 m m 64 Jul 14 06:17 10 -> anon_inode:[eventfd]
lr-x------ 1 m m 64 Jul 14 06:17 11 -> anon_inode:inotify
lrwx------ 1 m m 64 Jul 14 06:17 12 -> socket:[5752671]
lr-x------ 1 m m 64 Jul 14 06:17 13 -> /home/m/Downloads/Compressed/opengapps.zip (deleted)
lrwx------ 1 m m 64 Jul 14 06:17 2 -> socket:[26161]
lrwx------ 1 m m 64 Jul 14 06:17 3 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 4 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 5 -> socket:[5751361]
lrwx------ 1 m m 64 Jul 14 06:17 6 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 7 -> anon_inode:[eventfd]
lrwx------ 1 m m 64 Jul 14 06:17 8 -> socket:[5751363]
lrwx------ 1 m m 64 Jul 14 06:17 9 -> socket:[5751365]

正如你在終端輸出中看到的,原始文件 「opengapps.zip」 已被刪除,但它仍然鏈接到一個文件名 13,其進程 PID 13119。但是,我們仍然可以通過將鏈接的文件複製到安全的地方來恢復它。

cp 13 /home/m/Downloads/Compressed

文件複製後。我們將返回包含恢復文件的目錄,並使用以下命令重命名它。

mv 13 opengapps-recovered.zip

計算恢復文件的 MD5 哈希

由於我們已經恢復了該文件。讓我們檢查該文件的完整性,這只是為了確保文件沒有損壞,並且和原來一樣。早先我們保存了原始文件的 MD5 哈希值。

md5sum opengapps-recovered.zip >> md5-opengapps.txt

該命令將檢查文件的 MD5 哈希值,並在文件中追加新恢復文件的 MD5 哈希值,以輕鬆比較兩個 MD5 哈希值。

可以顯示文本文件的內容來比較原始文件和恢復文件的 MD5 哈希值。

cat md5-opengapps.txt

86489b68b40d144f0e00a0ea8407f7c0  opengapps.zip
86489b68b40d144f0e00a0ea8407f7c0  opengapps-recovered.zip

恢復文件的 MD5 哈希是一樣的。所以,我們成功地恢復了我們以前刪除的文件,並且恢復後文件完整性一致,並且工作正常。

注意: 在某些情況下,某些文件無法通過 ps -axu 命令看到。 所以,嘗試檢查運行的程序,並從中恢復文件。

假設我們有一個使用 Totem 媒體播放器播放中的以 .avi 為擴展名的視頻。你需要做的就是檢查 Totem 的 PID,並按照本示例中提到的相同說明進行操作。

要查找正在運行的程序的 PID,請使用以下命令,後面跟程序的名稱。

pidof 程序名

通過分享支持我們。

via: http://www.linuxnov.com/recover-deleted-files-still-running-active-processes-linux/

作者:mhnassif 譯者:geekpi 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國