恢复已删除文件

使用软件:extundelete
wget https://sourceforge.net/projects/extundelete/files/extundelete/0.2.4/extundelete-0.2.4.tar.bz2/download -O extundelete-0.2.4.tar.bz2

安装依赖
yum -y install e2fsprogs-libs e2fsprogs e2fsprogs-devel

tar xf extundelete-0.2.4.tar.bz2
cd extundelete-0.2.4/
./configure && make && make install

程序安装路径
/usr/local/bin/extundelete

模拟一个恢复文件的过程
新添加一块硬盘/dev/sdb 格式化 挂载
mkfs.ext4 /dev/sdb
mkdir /newdisk
mount /dev/sdb /newdisk/

进入挂载点创建几个文件,删除其中某个文件
cd /newdisk/
cp /etc/passwd .
cp /etc/ .
rm -rf *

恢复过程
在数据删除之后,首先要卸载被删除数据所在的磁盘或是分区,如果是系统根分区遭到误删除,
就需要进入单用户模式下,将根分区以只读的方式挂载。
原因:因为文件删除之后,仅仅是将文件的inode节点中的扇区指针清零,实际上文件还存在磁盘上面
如果磁盘以读写方式挂载,这些删除的数据块可能会被系统从新分配出去,这些数据块被覆盖之后,这些
数据就真的丢失了,所以以只读的方式挂载,尽可能避免数据被覆盖。

卸载挂载点
umount /newdisk

查看可恢复数据
extundelete /dev/sdb --inode 2

恢复文件
extundelete /dev/sdb --restore-file passwd

恢复目录
extundelete /dev/sdb --restore-directory etc

恢复所有文件
extundelete /dev/sdb --restore-all

已恢复的文件位于当前执行命令所在目录的RECOVERED_FILES

在这里插入图片描述

使用md5对比文件
在这里插入图片描述

你可能感兴趣的:(安全)