扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
列出的档有很多(这里找到2692个),第一字段是档节点号,第二字段是档所有者,第三字段是读写权限,接下来是档大小,占用块数,删除时间。然后就可以根据档大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件:
可以先看看文件资料状态:
以下为引用的内容:
debugfs:stat<196829>
Inode:196829Type:regularMode:0644Flags:0x0Version:1
User:0Group:0Size:149500
FileACL:0DirectoryACL:0
Links:0Blockcount:38
Fragment:Address:0Number:0Size:0
ctime:0x31a9a574--MonMay2713:52:042001
atime:0x31a21dd1--TueMay2120:47:292001
mtime:0x313bf4d7--TueMar508:01:272001
dtime:0x31a9a574--MonMay2713:52:042001
BLOCKS:
594810594811594814594815594816594817
………………………………….
TOTAL:38
然后就可以用dump指令恢复文件:
debugfs:dump<196829>/mnt/hda/01.sav
这样就把档恢复出来了。退出debugfs:
debugfs:quit
另一种方法是手工编辑inode:
以下为引用的内容:
debugfs:mi<196829>
Mode[0100644]
UserID[0]
GroupID[0]
Size[149500]
Creationtime[0x31a9a574]
Modificationtime[0x31a9a574]
Accesstime[0x31a21dd1]
Deletiontime[0x31a9a574]0
Linkcount[0]1
Blockcount[38]
Fileflags[0x0]
Reserved1[0]
Fileacl[0]
Directoryacl[0]
Fragmentaddress[0]
Fragmentnumber[0]
Fragmentsize[0]
DirectBlock#0[594810]
…………………………….
TripleIndirectBlock[0]
使用mi指令后每次显示一行信息以供编辑,其它行可以直接按回车表示确认,把deletiontime改成0(未删除),Linkcount改成1。改好后退出debugfs:
debugfs:quit
然后用fsck检查/dev/hda5
fsck/dev/hda5
程序会说找到丢失的数据块,放在lost+found里面。这个目录里的文件就是我们要的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者