当用户意外地删掉了一个依然须要的文件时,大多数情况下,是没有简便的方式可以重新寻回或重建这个文件。不过,辛运的是文件是可以通过一些方式恢复的。当用户删掉了一个文件,该文件并没有消失,只是被隐藏了一段时间。
这儿将解释它是怎样工作的。在一个文件系统中,有一个称作文件分配表的东西,这个表跟踪文件在储存单元(如硬碟,MicroSD卡,闪存驱动器等等)中的位置。当一个文件被删掉,文件系统将会在文件分配表中执行以下两个任务之一:这个文件在文件分配表上的条目被标记为“自由空间”或删掉文件分配表里这个文件的条目,且将相应的空间被标记为自由空间。如今,假如有一个新的文件须要被放置在一个储存单元上,操作系统将会把这个文件放置到标记为空位的地方。在新文件被写入到这个空位后,被删掉的文件就彻底消失了。当须要恢复一个早已删掉的文件时,用户绝对不能再对任何文件进行操作,由于如果该文件对应的“空位”被占用,这个文件就永远也不能恢复了。
恢复软件是怎样工作的?
大多数的文件系统(在删掉文件时)只是标记空间为空白。在那些文件系统下,恢复软件查看文件分配表这个文件,之后复制被删掉的文件到另外的储存单元中。如果该文件被复制到其它须要恢复的被删掉的储存单元中,这么用户将有可能会丧失那种所需的删掉文件。
文件系统极少会擦除文件分配表中的条目。如果文件系统真的这样做了,这便是恢复软件在恢复文件了。恢复软件在储存单元中扫描文件头,所有文件都拥有一个特殊的编码字符串,它们坐落文件的最上面,也被称作魔法数字。比如,一个编译的JAVA类文件的魔法数字在十六补码中是“CAFEBABE”。所以,如果要恢复该类型的文件,恢复软件会查找“CAFEBABE”然后复制文件到另一个储存单元。一些恢复软件可以查找某种特殊的文件类型。若用户想恢复一个PDF文件,则恢复软件将会查找十六补码的魔法数字“25504446”,这恰恰是ASCII编码中的“%PDF”。恢复软件将会查找所有的魔法数字,之后用户可以选择恢复那个已删掉的文件。
如果一个文件的部份被覆写了,则整个文件才会被毁坏。一般这个文件可以被恢复,而且其中的内容可能早已没有哪些好处。诸如,恢复一个已损毁的JPEG文件将会是无意义的,由于图片查看器不能从这个受损的文件形成一幅图片。为此,虽然用户拥有了这个文件,该文件也将毫无益处。
设备的位置:
在我们继续之前,下边的一些信息将会对指引恢复软件找到正确的储存单元起到一定的帮助。所有的设备均挂载在/dev/目录下。操作系统赋于每位设备的名称(并不是管理员给与每位分区或设备的名称)遵守一定的命名规律。
第一个SATA硬碟的第二个分区的名称将会是sda2。名称的第一个字母暗示了储存类型,在这儿指的是SATA,但字母“s”也可能指的是SCSI、FireWire(火线端口)或USB。第二个字母“d”指的是disk(硬碟)。第三个字母指的是设备序数,即字母“a”指的是第一个SATA而“b”指的是第二个。最后的数字代表分区。没有分区数字的设备名代表该设置的所有分区。对于前面的事例,对应的名称为sda。作为命名的第一个字母还可能是“h”,这对应PATA硬碟(IDE)。
以下为命名规律的一些事例。如果一个用户有一个SATA硬碟(sda),这个设备有4个分区-sda1、sda2、sda3和sda4。该用户删掉了第三个分区,但直至低格第四个分区之前,第四个分区名sda4都将保留不变。之后该用户插入了一个带有一个分区-即sdb1-的usb储存卡(sdb),又降低了一个带有一个分区-hda1-的IDE硬碟,接着该用户又降低了一个SCSI硬碟-sdc1。接着用户移不仅USB储存卡(sdb)。如今,SCSI硬碟的名称依旧为sdc,但假如这个SCSI被移除接着再被插入linux操作系统教程,则它的名称将变为sdb。其实还有其他的储存设备存在,那种IDE硬碟的名称仍会有一个“a”,由于它是第一个IDE硬碟,IDE设备的命名与SCSI、SATA、FireWire和USB设备要分开计数。
使用TestDisk进行恢复:
每位恢复软件有其不同的功能,特点及支持的不同文件系统。下边是一些关于使用TestDisk在各类文件系统中恢复文件的手册。
FAT16、FAT32、exFAT(FAT64)、NTFS以及ext2/3/4:
TestDisk是一个运行在Linux、*BSD、SunOS、MacOSX、DOS和Windows等操作系统下的开源的自由软件。TestDisk可以从下边的链接中找到:。TestDisk也可以通过键入sudoapt-getinstalltestdisk来安装。TestDisk有着许多的功能,但这篇文章将只关注恢复文件这个功能。
使用root权限从终端中打开TestDisk可以通过键入sudotestdisk命令。
如今,TestDisk命令行应用将会被执行。终端的显示将会改变。TestDisk寻问用户它是否可以保留日志,这完全由用户决定。如果一个用户正从系统储存中恢复文件,则毋须保留日志。可选择的选项有“生成”、“追加”和“无日志”。如果用户想保留日志,则日志将会保留在该用户的主目录。
在接着的屏幕中,储存设备以/dev/*的形式被罗列举来。对于我的系统linux恢复被删除的文件,系统的储存单元为/dev/sda,这意味着我的储存单元为一个SATA硬碟(sd)且它是第一个硬碟(a)。每位储存单元的容量以Gigabyte(百兆字节)为单位显示的。使用上下键来选择一个储存设备之后点击步入。
下一屏显示出一个列有分区表(也称作分区映射表)的清单。正如文件有文件配置表,分区有着分区表。分区是储存设备上的分段。诸如在几乎所有的Linux系统中,起码存在两种分区类型-EXT3/4和Swap。每一个分区表将会在下边被简略地描述。TestDisk并不支持所有类型的分区表,所以这并不是完整的列表。
如果用户选择了“Xbox”,虽然他的系统使用了GPT分区表,这么TestDisk将不能找到任何分区或文件系统。如果TestDisk根据用户的选择执行,则它可能推测错误。(下边的图片显示的是当分区表类型错误时的输出)
当用户为她们的设备选择了正确的选项,则在下一屏中,选择“高级”选项。
如今,用户将见到一个列有用户储存设备中所有的文件系统或分区的列表。如果用户选择了错误的分区映射表,则在这一步中用户就将会晓得她们作出了错误的选择。如果没有错误,通过联通文字光标来高亮选择富含被删掉文件的分区。使用左右键来高亮坐落终端顶部的“列表”。接着,按下回车确认。
新的一屏便会呈现出列有文件和目录的列表。这些条纹的文件名就是未被删掉的文件,而绿色的文件名是这些已被删掉的文件。最右侧的一列是文件的名称,从右到左方向的接着一列是文件的创建日期,再往左的一列是文件的大小(以byte/比特为单位),最左侧带有“-”,“d”,“r”,“w”和"x"的一列则代表的是文件的权限情况。“d”表示该文件为一个目录,其他的权限术语与本文关系不大。在列表的最顶端以“.”代表的一项表示当前目录,第二行以".."代表的一项表示当前目录的上级目录,所以用户可以通过选择目录所在行抵达该目录。
举个事例,我想步入"Xaiml_Dataset"目录,该目录基本上由被删掉的文件组成。通过按按键上的"c"键,我将恢复文件"computers.xaiml",接着我被寻问选择一个目标目录,其实,我应当放置该文件到另一个分区中。如今,当我在我的家目录时,按下了“c”键。(选择目标目录时)那个目录被高亮并没有哪些影响,当前目录就是目标目录,在屏幕的上方,将会显示“复制完成”的消息。在我的家目录中便会有一个名为"Xaiml_Dataset"的目录,上面里有一个Xaiml文件。如果我在更多的已删掉文件上按“c”键,则这种文件将会被放置到新的文件夹中而无需再向我寻问目标目录。
当这种步骤完成后,重复按“q”键直至听到正常的终端模样。目录"Xaiml_Dataset"只能被root用户访问。为了解决这个问题,使用root权限改变该目录及其子目录的权限。做完这种后,文件便被恢复了且用户可以访问它们。
非常的ReiserFS:
为了从ReiserFS文件系统中恢复一个文件,首先需将分区中的所有文件做一个备份。由于假如发生个别错误,这个方式可能会导致文件遗失。接着执行下边的命令,其中DEVICE指的是这些以sda2方式命名的设备。一些文件将被装入lost+found目录而其他则会保存到原本被删掉的位置。
reiserfsck --rebuild-tree --scan-whole-partition /dev/DEVICE
恢复被某个程序打开的删掉文件:
假定用户意外地删掉了一个文件,且该文件被某个程序打开。即使在硬碟中该文件被删掉了,但这个程序正使用着坐落RAM中的该文件的副本。庆幸,我们有两种简单的解决方式来恢复该文件。
如果这个软件有保存功能,如文本编辑器,则用户可以重新保存该文件,这样,文本编辑器可以将该文件写入硬碟中。
假定在音乐播放器中有一个MP3文件,而该音乐播放器并不能保存该MP3文件,则这些情形下须要比以前花更多的时间来恢复文件。不幸的是,这些方式并不能保证在所有的系统和应用中有效。首先,键入下边的命令。
lsof -c smplayer | grep mp3
里面的命令会列举所有由smplayer使用的文件,这个列表由grep命令通过管线搜索mp3。命令的输入类似于下边:
smplayer 10037 collier mp3 169r 8,1 676376 1704294 /usr/bin/smplayer
如今,键入下边的命令来直接从RAM(在Linux系统中,/proc/映射到RAM)中恢复文件,并复制该文件到选取的文件夹中。其中cp指的是复制命令,输出中的数字10037来自于进程数,输出中的数字169指的是文件描述符,"~/Music/"为目标目录,最后的"music.mp3"为用户想恢复的文件的名称。
cp /proc/10037/fd/169 ~/Music/music.mp3
真正的删掉:
为确保一个文件不能被恢复,可以使用一个命令来“擦除”硬盘。擦除硬碟实际上是向硬碟中写入无意义的数据。诸如,许多擦除程序向硬碟中写入零linux恢复被删除的文件,随机字母或随机数据。不会有空间被占用或遗失,擦除程序只是对空位进行重画覆盖。如果储存单元被文件占满而没有空余空间,则所有原本被删掉的文件将会消失而不能恢复。
擦除硬碟的目的是确保隐私数据不被别人看到。举个反例,一个公司可能预订了一些新的笔记本,总总监决定将旧的笔记本卖掉,但是,新的笔记本拥有者可能会见到公司的一些绝密或例如信用卡号码linux软件,地址等客户信息。庆幸,公司的笔记本技术人员可以在卖掉那些旧笔记本之前,擦除那些硬碟。
为了安装擦除程序secure-delete,键入sudoapt-getinstallsecure-delete,这个命令将会安装一个包含4个程序的程序集,用以确保被删掉的文件不能被恢复。
如果笔记本实际去消除这些删掉的文件,这么就须要耗费更长的时间去执行删掉任务。将个别空间标记为空位是快速且容易的,但促使文件永远消失须要耗费一定的时间。诸如,擦除一个储存单元,可能须要耗费几个小时的时间(按照c盘容量大小)。其实,现今的系统工作的就很好,由于虽然用户清空了垃圾箱,她们一直有另一次机会来改变她们曾经的看法(或错误)。
via:
作者:DevynCJohnson译者:FSSlc校对:wxy
本文由LCTT原创翻译,Linux中国荣誉推出