| |
ClearDDoS浅谈Linux文件系统反删除方法(一) |
|
威盾防火墙 2014-11-21 |
| |
周所周知Linux作为一个多用户、多任务的操作系统,Linux系统下的文件一旦被删除,是很难以恢复的。虽然删除命令只是简单的在档节点中作删除标记,而非真正清除文件内容,不过其它用户和一些有写盘动作的进程将会会很快覆盖这些资料。但是,对于家庭单机使用的Linux系统的话,在误删档后及时补救,还是有办法可以恢复的。
1、Ext2文件系统结构的简单介绍
在Linux系统所用的Ext2文件系统中,文件的存储方式是以块为单位存储的,一般在默认情况下每个块的大小是1K,而且不同的块都有命名的块号区分。每个档还有一个节点,每个节点中包含有档案所有者,文件的读写权限,文件类型等信息。在对于一个小于12个块的档,我们可以在节点中直接存储档数据块的块号。如果档大于12个块,那么我们需要节点在12个块号之后存储一个间接块的块号,并且使用在这个间接块号所对应的块中,存储总共有256个档数据块的块号(Ext2fs中每个块号占用4字节,这样一个块中所能存储的块号就是1024/4=256)。当然如果你有更大的文档,那么还会在节点中出现二级间接块和三级间接块。
2、恢复被误删档的方法
我们都知道大多数Linux系统发行版都有供一个debugfs工具,这个可以用来在我们需要的时候对Ext2文件系统进行编辑操作。但是在使用这个工具之前,我们还有一些前提工作要完成。
首先我们要以只读方式重新挂载被我们误删的档所在分区。使用如下命令:(假设文件在/usr分区)
mount?Cr?Cn?Coremount/usr
-r表示只读方式挂载;-n表示不写入/etc/mtab,如果是恢复/etc上的档,就加上这个参数。如果系统说xxxpartionbusy,那么就可以用fuser命令查看一下是哪些进程使用这个分区上的?n:
fuser?Cv?Cm/usr
如果没有什么重要的进程,用以下命令停掉它们:
fuser-k?Cv?Cm/usr
然后我们就可以重新挂载这些文件系统了。
如果你是把所有的档统一安装在一个大的/分区当中,可以在boot提示符下用linuxsingle进入单用户模式,这样可以尽量减少系统进程向硬盘写入资料的机会,要不干脆把硬盘挂在别的机器上。另外,恢复出来的资料记得不要写到/上面,可以避免破坏那些有用的资料。如果机器上有dos/windows,可以写到这些分区上面:
mount?Cr?Cn/dev/hda1/mnt/had
然后就可以执行debugfs:(假设Linux在/dev/hda5)
#debugfs/dev/hda5
就会出现debugfs提示符debugfs:
使用lsdel命令可以列出很多被删除的文件的信息:
以下为引用的内容:
debugfs:lsdel
debugfs:2692deletedinodesfound.
InodeOwnerModeSizeBlocksTimedeleted
164821010060081921/1SunMay1319:22:462001
36137010064441/1TueApr2410:11:152001
196829010064414950038/38MonMay2713:52:042001
debugfs:
ClearDDoS美国CD机房专业提供高防服务器,独立服务器,美国VPS,站群服务器,服务器托管,带宽批发等服务,公司官网:http://www.clear-ddos.net/
企业QQ:800043281
欢迎有意者客户访问咨询 |
|
| 相关内容: |
最新内容: |
ClearDDoS之防御CC攻击小技巧[2014-11-21]
DDOS攻击最佳免费防御方法[2014-11-19]
DDoS攻击原理及防护方法论[2014-11-19]
如何防止DDoS攻击[2014-11-19]
怎么防范DDOS攻击之DDOS全接触[2014-11-19]
怎么防御DDOS攻击[2014-11-19]
|
ClearDDoS之防御CC攻击小技巧[2014-11-21]
网站防黑客专家-威盾防火墙[2014-11-21]
webshell低权限重启服务器的另类方法[2014-11-21]
最经典的黑客入门教程(必备技能)[2014-11-21]
整人用的一个邪恶电脑重启病毒[2014-11-21]
网页挂马方法和技巧大汇总[2014-11-21]
|
