科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道浅谈Linux文件系统反删除方法(二)

浅谈Linux文件系统反删除方法(二)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

列出的档有很多(这里找到2692个),第一字段是档节点号,第二字段是档所有者,第三字段是读写权限,接下来是档大小,占用块数,删除时间。

作者:佚名 来源:云南设计港 2008年5月24日

关键字: 操作系统 反删除 服务器 文件系统 Linux

  • 评论
  • 分享微博
  • 分享邮件

  列出的档有很多(这里找到2692个),第一字段是档节点号,第二字段是档所有者,第三字段是读写权限,接下来是档大小,占用块数,删除时间。然后就可以根据档大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件:

  可以先看看文件资料状态:  

  以下为引用的内容:

  debugfs:stat<196829>  

  Inode:196829Type:regularMode:0644Flags:0x0Version:1  

  User:0Group:0Size:149500  

  FileACL:0DirectoryACL:0  

  Links:0Blockcount:38  

  Fragment:Address:0Number:0Size:0  

  ctime:0x31a9a574--MonMay2713:52:042001  

  atime:0x31a21dd1--TueMay2120:47:292001  

  mtime:0x313bf4d7--TueMar508:01:272001  

  dtime:0x31a9a574--MonMay2713:52:042001  

  BLOCKS:  

  594810594811594814594815594816594817  

  ………………………………….  

  TOTAL:38  

  然后就可以用dump指令恢复文件:

  debugfs:dump<196829>/mnt/hda/01.sav

  这样就把档恢复出来了。退出debugfs:

  debugfs:quit

  另一种方法是手工编辑inode:  

  以下为引用的内容:

  debugfs:mi<196829>  

  Mode[0100644]  

  UserID[0]  

  GroupID[0]  

  Size[149500]  

  Creationtime[0x31a9a574]  

  Modificationtime[0x31a9a574]  

  Accesstime[0x31a21dd1]  

  Deletiontime[0x31a9a574]0  

  Linkcount[0]1  

  Blockcount[38]  

  Fileflags[0x0]  

  Reserved1[0]  

  Fileacl[0]  

  Directoryacl[0]  

  Fragmentaddress[0]  

  Fragmentnumber[0]  

  Fragmentsize[0]  

  DirectBlock#0[594810]  

  …………………………….  

  TripleIndirectBlock[0]

  使用mi指令后每次显示一行信息以供编辑,其它行可以直接按回车表示确认,把deletiontime改成0(未删除),Linkcount改成1。改好后退出debugfs:

  debugfs:quit

  然后用fsck检查/dev/hda5

  fsck/dev/hda5

  程序会说找到丢失的数据块,放在lost+found里面。这个目录里的文件就是我们要的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章