CentOS系统下尝试恢复被删除的文件的方法集锦

背景说明：今天同事在用ftp更新网站内容是，将原来文件夹重命名以备份，再上传文件，上传完成后测试网站可以访问就将备份删除（脑袋抽筋了），结果发现备份中最重要的一个图片文件夹被删除，而上传的只是程序文件，导致所有图片丢失。

找回办法如下：

1、尝试方法一：debugfs
用debugfs工具，可以看到删除的列表，但没有找到批量恢复文件的办法（丢失的文件有1万多），可能是我方法不对。对于单个文件，debugfs是可以很方便恢复的。

大多数Linux发行版都提供一个debugfs工具，可以用来对Ext3文件系统进行编辑操作。不过在使用这个工具之前，还有一些工作要做。

　　首先以只读方式重新挂载被误删的文件所在分区。使用如下命令：（假设文件在/usr分区）

　　如果是把所有的文件统一安装在一个大的/分区当中，可以在boot提示符下用linux single进入单用户模式，尽量减少系统进程向硬盘写入数据的机会，要不干脆把硬盘挂在别的机器上。另外，恢复出来的数据不要写到/上面，避免破坏那些有用的数据。如果机器上有dos/windows，可以写到这些分区上面：
　

#debugfs /dev/hda5</p> <p>　　就会出现debugfs提示符debugfs：</p> <p>　　使用lsdel命令可以列出很多被删除的文件的信息：</p> <p>　　debugfs：lsdel</p> <p>　　debugfs: 2692 deleted inodes found.</p> <p>　　Inode Owner Mode Size Blocks Time deleted</p> <p>　　164821 0 100600 8192 1/ 1 Sun May 13 19:22:46 2001</p> <p>　　…………………………………………………………………………………</p> <p>　　36137 0 100644 4 1/ 1 Tue Apr 24 10:11:15 2001</p> <p>　　196829 0 100644 149500 38/ 38 Mon May 27 13:52:04 2001</p> <p>　　debugfs:
</div>
　　列出的文件有很多（这里找到2692个），第一字段是文件节点号，第二字段是文件所有者，第三字段是读写权限，接下来是文件大小，占用块数，删除时间。然后就可以根据文件大小和删除日期判断那些是我们需要的。比如我们要恢复节点是196829的文件：

　　可以先看看文件数据状态：

　　

debugfs：stat <196829></p> <p>　　Inode: 196829 Type: regular Mode: 0644 Flags: 0×0 Version: 1</p> <p>　　User: 0 Group: 0 Size: 149500</p> <p>　　File ACL: 0 Directory ACL: 0</p> <p>　　Links: 0 Blockcount: 38</p> <p>　　Fragment: Address: 0 Number: 0 Size: 0</p> <p>　　ctime: 0x31a9a574 — Mon May 27 13:52:04 2001</p> <p>　　atime: 0x31a21dd1 — Tue May 21 20:47:29 2001</p> <p>　　mtime: 0x313bf4d7 — Tue Mar 5 08:01:27 2001</p> <p>　　dtime: 0x31a9a574 — Mon May 27 13:52:04 2001</p> <p>　　BLOCKS:</p> <p>　　594810 594811 594814 594815 594816 594817 ………………………………….</p> <p>　　TOTAL: 38
</div>
　　然后就可以用dump指令恢复文件：
　

debugfs：mi</p> <p>　　Mode [0100644]</p> <p>　　User ID [0]</p> <p>　　Group ID [0]</p> <p>　　Size [149500]</p> <p>　　Creation time [0x31a9a574]</p> <p>　　Modification time [0x31a9a574]</p> <p>　　Access time [0x31a21dd1]</p> <p>　　Deletion time [0x31a9a574] 0</p> <p>　　Link count [0] 1</p> <p>　　Block count [38]</p> <p>　　File flags [0x0]</p> <p>　　Reserved1 [0]</p> <p>　　File acl [0]</p> <p>　　Directory acl [0]</p> <p>　　Fragment address [0]</p> <p>　　Fragment number [0]</p> <p>　　Fragment size [0]</p> <p>　　Direct Block #0 [594810]</p> <p>　　…………………………….</p> <p>　　Triple Indirect Block [0]
</div>
　　使用mi指令后每次显示一行信息以供编辑，其它行可以直接按回车表示确认，把deletion time改成0（未删除），Link count改成1。改好后退出debugfs：
　　

另外debugfs不适合恢复大文件。

2、尝试方法二、foremost
foremost是很不错的软件，非常简单，一个命令就恢复了所有图片，但是文件名却丢失了，那么多图片如何恢复名字，没有找到好的办法。同上面debugfs一样，如果是单个文件，或者知道文件名字，这个方法是可以的。但文件量过大，且必须恢复文件名，此方法则不行。

基本使用办法如下：

下载并编译安装 foremost：