用test目錄下的文件做步驟演示:
1.cd/test 刪除文件 rm -rf 文件.txt
2.輸入命令debugfs(ps:此時可以開另外一個終端執行命令:df /test/ 找到/dev/... 數字... 12%,記住/dev/..這個路徑)
3.返回第一個終端輸入命令 open /dev/... 和 ls -d /test (記住剛剛刪除文件的<id>(數字) 文件.txt)
4.第一個終端輸入命令 logdump -i <id> (記住block 和offset 對應的數字,列如 block 1111,offset 256)
5.第一個終端輸入命令 dd if=/dev/... of=/test/文件.txt bs=256 count=1 skip=1111
具體步驟:
1.cd /wztest 2.刪除文件,無論何種方式 3.輸入命令debugfs
.
4,切換新的終端窗口,執行命令:df /wztest/
5.返回第一終端頁面 ,執行:open /dev/vda1和ls -d /wztest(第一個圖片里面)
記住框選<數字>
6.第一個終端輸入:logdump -i <id> 記住block和offset
7.quit
8.第一個終端輸入命令:dd if=/dev/vda1 of=/test/b.txt bs=256 count=1 skip=15728
恢復文件夾類似:
1 運行debugfs,進入調度模式
2 執行open /dev/..
3 執行ls -d dir 會列出此目錄最近的操作,其中可以看到<數字>的日志刪除記錄
4 執行logdump -i <數字> (在輸出中尋找刪除文件對應的block,記錄下來blockid)
5.退出debugfs,運行dd if=/dev/.. of=/tmp/saved bs=1024 count=1 skip=blockid
參考:https://jingyan.baidu.com/article/2d5afd69bc7dfec4a2e28e89.html
每篇一句:愛你破爛的衣裳,卻敢堵命運的槍。