Jul
02
2009
File Recover via lsof

Και σε ποιον δεν έχει τύχει να διαγράψει κατά λάθος ένα αρχείο.
Εάν όμως υπάρχει κάποια διεργασία που έχει “δεσμεύει” το αρχείο μας,
υπάρχουν αρκετές πιθανότητες να το ανακτήσουμε με την χρήση της lsof.

Η lsof μας δείχνει ποια είναι τα ανοιχτά αρχεία, δλδ τα αρχεία που αυτή την στιγμή έχουν “δεσμεύει οι διεργασίες του υπολογιστή μας.

Παραθέτω ένα πλήρες κι εύκολο παράδειγμα:

dmesg > dmesg.log
less dmesg.log

Ελέγχουμε το μέγεθος αλλά και το hash του αρχείου μέσω της md5sum για να πιστοποιήσουμε την ακεραιότητα παρακάτω:

ebal@myhome: € ls -l dmesg.log
-rw-r–r– 1 ebal ebal 28944 2009-07-02 21:46 dmesg.log

ebal@myhome: € md5sum dmesg.log
f8b02bca5b25244e71ada077a439a4cf dmesg.log

Διαγράφουμε το αρχείο, προσοχή το less που τρέχουμε παραπάνω είναι σε άλλο παράθυρο/τερματικό

ebal@myhome: € rm -f dmesg.log
ebal@myhome: € ls -l dmesg.log
ls: cannot access dmesg.log: Δεν υπάρχει τέτοιο αρχείο ή κατάλογος

Βλέπουμε εάν είναι “ανοιχτό” από κάποια άλλη διεργασία, περιμένουμε να δούμε την less

ebal@myhome: € lsof | grep dmesg.log
less 5412 ebal 4r REG 8,3 28944 6922 /tmp/dmesg.log (deleted)

Στην δεύτερη στήλη, ο αριθμός αυτός δηλώνει τον αριθμό της διεργασίας μας.
Κάθε φορά είναι διαφορετικός και σε κάθεναν θα είναι επίσης διαφορετικός.

Κάνοντας χρήση αυτού του αριθμού μέσω από το ψευδοαρχείο συστημάτων μας
μπορούμε να ανακτήσουμε το αρχείο που μόλις διαγράψαμε:

ebal@myhome: € cp /proc/5412/fd/4 /tmp/dmesg.log

Πριν συνεχίσουμε, μερικές πληροφορίες.

/proc : ο κατάλογος στον οποίο καταγράφουν όλες οι διεργασίες προσωρινά πληροφορίες
5412: o αριθμός διεργασίας της less
fd : file descriptor, εάν έχουν ανοιχτεί αρχεία
4 : Συνήθως είναι το αρχείο, με την εντολή ls -l στον κατάλογο /proc/5412/fd/4 το επιβεβαιώνουμε

Περισσότερα για το proc filesystem μπορείτε να διαβάσετε εδώ

Κι ελέγχουμε εκ νέου το μέγεθος και την ακεραιότητα του αρχείου μας.

ebal@myhome: € ls -l dmesg.log
-rw-r–r– 1 ebal ebal 28944 2009-07-02 21:54 dmesg.log
ebal@myhome: € md5sum dmesg.log
f8b02bca5b25244e71ada077a439a4cf dmesg.log

Οπότε την επόμενη φορά που θα διαγράψουμε ένα αρχείο, ρίχνουμε μια ματιά στην lsof.

Αρχική πηγή: linuxplanet

  1. Avatar di comzeradd comzeradd

    Friday, July 3, 2009 - 11:18:26

    ενδιαφέρον :)
    δες κι αυτό το σχετικό post:
    http://modal-echoes.blogspot.com/2007/02/recovering-deleted-files-through-open.html