如何在Linux中恢复一个删除了的文件

Linux中删除文件的恢复是一项重要技能,尤其是如果您错误地删除重要文件时。
首先,您需要使用SecureCRT删除与操作系统的连接,以查看系统和文件系统格式的当前版本。
为了促进实验,我们创建了一个新文件。
然后进行拆卸操作。
接下来,我们可以使用系统debugfs我们自己的工具来还原文件。
打开刚刚被删除的部分,使用LS-D参数显示目录,我们正在寻找的Inode号码与角括号显示。
执行LogDump-I命令<3>后,将显示信息屏幕。
我们需要专注于信息中的最后一行,然后记住值。
离开debugfs后,跟随特定的恢复团队。
完成上述步骤后,结果表明文件恢复成功。
我们可以查看目录 /TMP中恢复的效果。
打开 /TMP目录,您可以看到已还原的文件。

Linux如何知道是谁删除了文件?

在Linux系统中,您可以使用以下方法来确定谁删除文件:查看系统日志:Linux系统记录用户在文件和目录上的操作,并且可以查看系统日志以确定哪个用户已删除该文件。
使用以下命令查看系统日志文件:sudotail-f/var/log/syslog如果知道删除文件的时间段,请根据需要过滤日志。
您可以使用CTRL+C退出日志查看。
使用Auditd:Auditd是一个系统审计守护程序,可以在Linux系统上记录操作和事件。
如果您在系统上启用了审核,则可以使用以下命令查找删除文件的记录:sudoauditctl-w/path/to/file-pw-kdelete_filese_filesedoausearch-kdelete_file-i这将创建名为“ delete_file” elete_file的键中的键,并记录删除文件的操作。
使用第二个命令搜索密钥“ delete_file”以查找相关事件。
使用Inotify:Inotify是一个Linux内核文件系统事件通知机制,可用于监视文件和目录中的更改。
您可以监视目录并将所有删除事件记录到以下命令:sudoinotifywait-m-r/path/to/directory-edelete> delete.log。
这将记录从指定目录删除的文件和目录的所有事件,并将它们写入名为“ delete.log”的日志文件。
请注意,此方法只能记录自运行此命令以来发生的事件。
请注意,在文件删除发生之前,需要启用这些方法。
如果您不启用任何方法,则无法确定谁删除了文件。

linux 下如何找回被删除的文件

在Linux系统中,如果您错误地删除重要文件,则无需太多恐慌。
有一些方法可以尝试还原这些文件。
首先,您可以使用查找命令查找已删除的文件。
例如,如果您知道文件名的一部分,则可以运行/名称“部分文件名”来搜索整个文件系统。
此外,您还可以使用debugfs命令在ext2 /ext3 /ext4 文件系统中还原已删除的文件。
运行debugfs/dev/sdxn,用实际的分区设备名称替换/dev/sdxn,然后使用查找命令查找文件,并最终使用debugfs dump命令来还原文件。
对于错误删除的文件,您还可以考虑使用ExtundunDelete工具。
它可以在Ext2 /Ext3 /Ext4 文件系统中还原已删除的文件。
安装Extundelete后,使用Extundelete/dev/sdxn还原文件。
特定步骤包括:首先,标记已删除的文件,然后还原文件。
如果文件很大,请考虑使用测试磁盘工具,该工具支持多个文件系统,并且可以更广泛地恢复文件。
此外,使用最初的工具也是一个不错的选择。
它可以还原文件标题信息,从而恢复几种类型的文件。
安装在最前沿后,使用最输入/路径/两个/目录扫描指定的目录。
对于错误删除的文件,您也可以尝试使用Photorec工具。
它也是测试驱动器的一部分,能够还原文件和文件夹,并支持多种文件类型和文件系统。
尽管上述工具可能会意外恢复已删除的文件,但建议定期备份日常操作中的重要文件以防止数据丢失。
在Linux系统中,可以将正时任务设置为定期将重要文件备份到其他存储设备或外部服务器。
这样,即使发生错误,数据也可以快速恢复。

在Linux中恢复被删除的文件的教程

当用户意外删除仍然需要的文件时,在大多数情况下,没有简单的方法可以重新撤回或重建文件。
幸运的是,可以通过某些方法恢复文件。
当用户删除文件时,文件不会消失,而只是隐藏了一段时间。
这里将解释其工作原理。
在文件系统中,有一个叫做文件分配表的东西,可以跟踪存储单元中文件的位置(例如硬盘,microSD卡,闪存驱动器等)。
删除文件时,文件系统将执行文件分配表中的以下两个任务之一:该文件在文件分配表上的条目标记为“空间”或在文件分配表中删除此文件的输入,并且相应的空间标记为免费空间。
现在,如果需要将新文件放置在存储单元上,则操作系统将将文件放置在标有空的位置。
将新文件写入此空白空间后,已删除的文件完全消失。
当有必要还原已删除的文件时,用户绝不能在任何文件上操作,因为如果占用文件的相应“空白空间”,则将永远恢复文件。
恢复软件如何工作? 大多数文件系统(删除文件时)只需将空间标记为空白即可。
在这些文件系统下,恢复软件查看文件的文件分配表,然后将已删除的文件复制到另一个存储单元。
如果将文件复制到需要恢复的其他已删除的存储单元,则用户可能会丢失所需的删除文件。
文件系统很少删除文件分配表中的条目。
如果文件系统真正这样做,这是正在恢复文件的恢复软件。
恢复软件扫描存储单元中的文件标头。
所有文件都有一个特殊的编码字符串,该字符串位于文件的正面,也称为魔术数字。
例如,编译的Java类文件的魔术号码是十六进制中的“咖啡厅”。
因此,如果要恢复此类型的文件,恢复软件将寻找“ Cafebabe”,并将文件复制到另一个存储单元。
一些恢复软件可以找到一些特殊的文件类型。
如果用户想恢复PDF文件,则恢复软件将寻找十六进制的魔法编号“ 2 5 5 04 4 4 6 ”,这正是ASCII编码中的“%pdf”。
恢复软件将寻找所有魔术数字,用户可以选择要恢复的删除文件。
如果文件的一部分被覆盖,则整个文件将被损坏。
通常可以恢复此文件,但内容可能几乎没有用。
例如,恢复损坏的JPEG文件将是没有意义的,因为图像查看器无法从损坏的文件中产生图片。
因此,即使用户拥有此文件,该文件也将毫无用处。
设备位置:在我们继续之前,下面的一些信息将有助于指导恢复软件找到正确的存储单元。
所有设备均安装在 / DEV / Directory中。
操作系统给每个设备的名称(不是管理员给出的每个分区或设备的名称)遵循某些命名规则。
第一个SATA硬盘驱动器的第二个分区将是SDA2 该名称的第一个字母意味着存储类型,它指的是SATA,但字母“ S”也可以指SCSI,FireWire(Firewire端口)或USB。
第二个字母“ D”是指磁盘(硬盘)。
第三个字母指的是设备序数,即字母“ a”是指第一个SATA,“ B”是指第二个。
最后一个数字代表分区。
没有分区编号的设备名称表示该设置中的所有分区。
对于上面的示例,相应的名称是SDA。
名称的第一个字母也可能是“ H”,它对应于Pata Hard Drive(IDE)。
以下是命名规则的一些示例。
如果用户有SATA硬盘(SDA),则设备具有4 个分区-SDA1 ,SDA2 ,SDA3 和SDA4 用户删除了第三个分区,但是第四个分区名称SDA4 将保持不变,直到第四个分区格式化为止。
然后,用户将带有分区的USB存储卡(SDB)插入 - 即添加SDB1 -,并添加带有分区-HDA1 -的IDE硬盘驱动器,然后用户添加SCSI硬盘驱动器-SDC1 然后,用户删除了USB存储卡(SDB)。
现在,SCSI硬盘的名称仍然是SDC,但是如果删除此SCSI然后插入,则其名称将成为SDB。
尽管还有其他存储设备,但该IDE硬盘驱动器的名称仍然具有“ A”,因为它是第一个IDE硬盘驱动器,并且IDE设备的名称与SCSI,SATA,FireWire和USB设备分开计数。
使用TestDisk恢复:每个恢复软件都有其支持的不同功能,功能和不同的文件系统。
以下是使用TestDisk在各种文件系统中恢复文件的指南。
FAT1 6 ,FAT3 2 ,EXFAT(FAT6 4 ),NTFS和EXT2 /3 /4 :TestDisk是在Linux, *BSD, *BSD,Sunos,MacOSX,DOS和Windows等操作系统下运行的开源免费软件。
可以在下面的链接中找到TestDisk:http://www.cgsecurity.org/wiki/testdisk。
也可以通过键入sudoapt-getinstalltestdisk来安装TestDisk。
TestDisk具有许多功能,但是本文仅专注于恢复文件功能。
通过键入sudotestdisk命令,使用root权限从终端打开测试速度。
现在,将执行testDisk命令行应用程序。
终端的显示将改变。
TestDisk询问用户是否可以保留日志,这完全取决于用户。
如果用户正在从系统存储中恢复文件,则无需保留日志。
选项是“生成”,“附加”和“无日志”。
如果用户想保留日志,则将日志保存在用户的主目录中。
在下面的屏幕中,存储设备在 /dev /*中列出。
对于我的系统,系统的存储单元是 /dev /sda,这意味着我的存储单元是SATA硬盘驱动器(SD),它是第一个硬盘驱动器(a)。
每个存储单元的容量以千兆字节(千兆字节)的形式显示。
使用上下键选择存储设备,然后单击Enter。
下一个屏幕显示分区表的列表(也称为分区映射表)。
就像文件具有文件配置表一样,分区也具有分区表。
分区是存储设备上的段。
例如,在几乎所有Linux系统中,至少有两种分区类型-EXT3 /4 和交换。
每个分区表将在下面简要介绍。
TestDisk不支持所有类型的分区表,因此这不是一个完整的列表。
英特尔 - 这种类型的分区表在Windows系统和许多Linux系统中非常普遍,并且通常称为MBR分区表。
efigpt-这种类型的分区表通常用于Linux系统。
对于Linux系统,该分区表是最推荐的,因为逻辑分区或扩展分区的概念不适用于GPT(GUIDPartitionTable)分区表。
这意味着,如果每个分区中都有一个Linux系统,则Linux用户可以从多种类型的Linux系统进行多启动。
当然,使用GPT分区表还有其他优势,但是这些优势超出了本文的范围。
Humax-Humax分区映射桌适用于韩国公司Humax生产的设备。
Mac-Apple分区映射表(APM)适用于Apple设备。
没有其他设备没有分区表。
例如,许多次级游戏机不使用分区映射表。
如果用户试图使用其他分区表类型从此类设备中恢复文件,则用户将麻烦testDisk以查找任何文件系统或文件。
太阳隔断表适合太阳系统。
Xbox-Xbox适用于使用Xbox分区映射的存储设备。
如果是用户选择“ Xbox”,即使他的系统使用GPT分区表,TestDisk也将无法找到任何分区或文件系统。
如果根据用户的选择执行测试速度,则可能会猜测一个错误。
(下图显示了分区表类型不正确时的输出)当用户选择其设备的正确选项时,在下一个屏幕中,选择“高级”选项。
现在,用户将在用户存储设备中查看所有文件系统或分区的列表。
如果用户选择错误的分区映射表,则在此步骤中,用户将知道他们做出了错误的选择。
如果没有错误,请更改文本光标,以突出显示包含已删除文件的分区。
使用左右键突出显示位于终端底部的“列表”。
然后,按Enter确认。
一个新的屏幕将显示文件和目录列表。
这些白色文件名是尚未删除的文件,而这些红色文件名是已删除的文件。
最右边的列是文件的名称,从右到左的下一个列是文件创建日期,左侧的列是文件的大小(字节/位)。
最左边的列带有“ - ”,“ D”,“ R”,“ W”和“ X”代表文件的权限。
“ D”表示文件是目录,其他权限条款与本文无关。
在列表的顶部,项目代表“”。
代表当前目录,并且代表“ ..”的项目代表当前目录的上部目录,因此用户可以通过选择目录所在的线路来达到目录。
例如,我想转到“ xaiml_dataset”目录,该目录基本上由已删除的文件组成。
通过在键盘上按“ C”键,我将还原文件“ Computers.xaiml”,然后我被要求选择一个目标目录,当然,我应该将该文件放入另一个分区中。
现在,当我在主目录中时,我按了“ C”键。
(选择目标目录时)没有任何突出显示目录的影响。
当前目录是目标目录。
屏幕上方将显示一条消息“完成”。
在我的主目录中,将有一个名为“ Xaiml_dataset”的目录,其中包含一个Xaiml文件。
如果我在更删除的文件上按“ C”键,则将文件放在新文件夹中,而无需询问目标目录。
完成这些步骤后,请重复按“ Q”键,直到看到正常的终端外观为止。
目录“ xaiml_dataset”只能由根用户访问。
要解决此问题,请使用根本权限来更改目录及其子目录的权限。
执行此操作后,恢复文件,用户可以访问它们。
特殊Reiserfs:为了从Reiserfs文件系统还原文件,您必须首先对分区中的所有文件进行备份。
因为如果发生某些错误,此方法可能会导致文件丢失。
下一个执行以下命令,该命令是指在表格SDA2 中指定的那些设备。
某些文件将放置在丢失+发现的目录中,而其他文件将保存到原始删除的位置。
代码副本如下:reiserfsck-- reiserfsck- rebuild-tree-scan-can-can-can-can-can-can-dev/设备恢复由某个程序打开的已删除文件:假设用户意外删除文件,并且文件由某个程序打开。
尽管该文件已在硬盘上删除,但该程序使用位于RAM中的文件的副本。
幸运的是,我们有两个简单的解决方法来恢复文件。
如果此软件具有保存函数,例如文本编辑器,则用户可以重新放置文件,以便文本编辑器可以将文件写入硬盘。
假设音乐播放器中有一个MP3 文件,并且音乐播放器无法保存MP3 文件,则这种情况需要比以前更多的时间恢复文件。
不幸的是,这种方法并不能保证所有系统和应用中的有效性。
首先,键入以下命令。
代码副本如下:LSOF-CSMPLAYER | GREPMP3 命令将列出Smplayer使用的所有文件。
此列表由GREP命令搜索MP3 该命令的输入类似于以下内容:复制代码代码如下:Smplayer1 003 7 Colliermp3 1 6 9 r8 ,1 6 7 6 3 7 6 1 7 04 2 9 4 /usr/usr/bin/smplayernow,键入以下命令以直接从RAM中恢复文件(在Linux System中,/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/proc/map compy ram),并复制到所需的折叠文件。
如果CP引用复制命令,输出中的数字1 003 7 来自过程数量,输出中的数字1 6 9 是指文件描述符,“〜/music/”是目标目录,而最后的“ music.mp3 ”是用户想要恢复的文件的名称。
复制代码代码如下:CP/PROC/1 003 7 /FD/1 6 9 〜/MUSIC/MUSIC.MP3 真实删除:为了确保无法恢复文件,您可以使用命令来“删除”硬盘。
擦除硬盘实际上是在硬盘驱动器中写入毫无意义的数据。
例如,许多擦除程序是磁盘中的硬性零,随机字母或随机数据。
没有空间被占用或丢失,擦除程序只是重写并覆盖空白空间。
如果存储单元装满了文件,并且没有备用空间,则所有先前已删除的文件将消失并且无法恢复。
消除硬盘驱动器的目的是确保别人看不到隐私数据。
例如,一家公司可能已经预订了一些新计算机,总经理决定出售旧计算机。
但是,新的计算机所有者可能会看到公司的某些机密性或客户信息,例如信用卡号,地址等。
幸运的是,公司的计算机技术人员可以在出售这些旧计算机之前擦除这些硬盘驱动器。
要安装橡皮擦程序安全删除,请键入sudoapt-getinstallsecure-delete。
此命令将安装一个包含4 个程序的程序集,以确保无法还原已删除的文件。
SRM-永久删除文件。
如何使用:srm-f​​./secret_file.txtsfill-erase空空间。
用法方法:SFILL-F/MAINT/POINT/OF/PATITITIONSSWAP-erase交换空间。
如何使用:SSWAP-F/DEV/SWAP_DEVICE如果计算机实际清除已删除的文件,则执行删除任务需要更长的时间。
将某些空间标记为空的空间很容易,但是需要一些时间才能使文件永远消失。
例如,擦除存储单元可能需要几个小时(取决于磁盘容量)。
无论如何,该系统现在运行良好,因为即使用户清除了垃圾箱,他们仍然有另一个机会改变其原始想法(或错误)。

linux删除文件怎么找回

使用回收托盘恢​​复,使用命令行恢复。
1 办公环境提供了回收罐功能。
您可以打开“回收箱”应用程序,浏览删除的文件列表,选择要恢复的文件,正确-Click,然后选择“恢复”选项。
该文件将在其原始位置恢复。
2 在命令行中没有回收功能或文件被删除。