如何使用lsof恢复误删除的文件

文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.

proc文件系统可以协助我们恢复数据. 每一个系统上的进程在/proc都有一个目录和自己的名字: 里面包含了一个fd(文件描述符)子目录(进程需要打开文件的所有链接). 如果从文件系统中删除一个文件, 此处还有一个inode的引用:

/proc/进程号/fd/文件描述符

接下来, 你需要知道打开文件的进程号(pid)和文件描述符(fd). 这些都可以通过lsof工具方便获得, lsof的意思是”list open files, 列出(进程)打开的文件”. 然后你将可以从/proc拷贝出需要恢复的数据.

首先, 我们需要创建一个文本文件, 删除然后恢复:

vim lsof.txt

less lsof.txt 查看，然后使用ctrl + z 退出less命令.

rm lsof.txt

ls -l lsof.txt ///bin/ls: lsof.txt: No such file or directory

lsof | grep lsof.txt

less 11462 user_00 4r REG 8,4 12 33121 /data/qqshowtestcode/md/lsof/lsof.txt (deleted)

less为进程中使用的命令名，11462为进程号，4r表示文件描述符为4，r代表普通文件.

现在我们应该知道11462进程仍有打开文件, 文件描述符是4. 那我们开始从/proc里面拷贝出数据.

cp /proc/11462/fd/4 newfile.txt