如何恢復Unix系統(tǒng)被刪除的文件

申請免費試用、咨詢電話：400-8352-114

與DOS/Windows不同，Unix文件被刪除后很難恢復，這是由Unix獨特的文件系統(tǒng)結構決定的。所以，要想恢復這些文件，就需要另辟蹊徑。 

（如右圖）Unix文件系統(tǒng)的特殊性決定了它不能像Windows系統(tǒng)那樣恢復被刪除的文件。

Unix文件目錄不像DOS/Windows那樣，文件即使被刪除之后仍保存有完整的文件名、文件長度、始簇號(即文件占有的第一個磁盤塊號)等重要信息。相反，它的文件信息全部依靠一種被稱為i節(jié)點的數(shù)據(jù)結構來描述，而i節(jié)點在相應文件被刪除之后即被清空，因此，要想直接恢復被刪除的文件內(nèi)容幾乎是不可能的，必須另辟蹊徑。本文結合實際，討論幾種文件恢復策略及其關鍵步驟的具體實現(xiàn)。　

不過，需要說明的是，Unix系統(tǒng)下文件系統(tǒng)恢復的具體實現(xiàn)依賴于不同操作系統(tǒng)和不同版本的具體文件系統(tǒng)結構和磁盤塊分配算法（見附文）。本文只是試圖總結出一種一般性的思路和策略，限于篇幅，不能詳細討論它們的具體實現(xiàn)過程。

Unix文件系統(tǒng)結構

我們知道，Unix是以文件卷作為其文件系統(tǒng)存儲格式的，而不同的Unix系統(tǒng)，文件卷格式是有差異的，甚至即使是同一Unix操作系統(tǒng)的不同版本，其文件系統(tǒng)也未必完全相同，例如: SCO Unix 4.1版與5.0版文件系統(tǒng)結構就有明顯差異，但只要是Unix系統(tǒng)，其文件卷的基本結構是一致的。

不管是什么Unix系統(tǒng)，不管什么版本，其文件卷至少包括引導塊、超級塊、i節(jié)點表、數(shù)據(jù)區(qū)等幾個部分。

1. 引導塊

位于文件卷最開始的第一扇區(qū)，這512字節(jié)是文件系統(tǒng)的引導代碼，為根文件系統(tǒng)所特有，其他文件系統(tǒng)這512字節(jié)為空。

2. 超級塊

位于文件系統(tǒng)第二扇區(qū)，緊跟引導塊之后，用于描述本文件系統(tǒng)的結構。如i節(jié)點長度、文件系統(tǒng)大小等，其結構存放于/usr/include/sys/filsys.h中，其結構如下:

struct filsys

{ ushort s_isize; /*磁盤索引節(jié)點區(qū)所占用的數(shù)據(jù)塊數(shù)*/

daddr_t s_fsize; /*整個文件系統(tǒng)的數(shù)據(jù)塊數(shù)*/

short s_nfree; /*在空閑塊登錄表中當前登記的空閑塊數(shù)目*/

daddr_t s_free[NICFREE]; /*空閑塊登記表*/

short s_ninode; /*空閑索引節(jié)點數(shù)*/

ino_t s_inode[NICINOD]; /*空閑節(jié)點登記表*/

char s_flock; /*加鎖標志位*/

char s_ilock; /*節(jié)點加鎖標志位*/

char s_fmod; /*超級塊修改標志*/

char s_ronly; /*文件系統(tǒng)只讀標志*/

time_t s_time; /*超級塊上次修改的時間*/

short s_dinfo[4]; /*設備信息*/

daddr_t s_tfree; /*空閑塊總數(shù)*/

ino_t s_tinode; /*空閑節(jié)點總數(shù)*/

char s_fname[6]; /*文件系統(tǒng)名稱*/

char s_fpack[6];

long s_fill[13]; /*填空位*/

long s_magic; /*指示文件系統(tǒng)的幻數(shù)*/

long s_type; /*新文件系統(tǒng)類型*/ };

3. i節(jié)點表

i節(jié)點表存放在超級塊之后，其長度是由超級塊中的s_isize字段決定的，其作用是用來描述文件的屬性、長度、屬主、屬組、數(shù)據(jù)塊表等，其數(shù)據(jù)結構在/usr/include/sys/ino.h中，如下:

struct dinode

{ ushort di_mode;

short di_nlink;

ushort di_uid;

ushort di_gid;

off_t di_size;

char di_addr[40];

time_t di_atime;

time_t di_mtime;

time_t di_ctime; };

4. 目錄結構

Unix所有文件均存放于目錄中，目錄本身也是一個文件。目錄存放文件的機制如下: 首先，目錄文件本身也象普通文件一樣，占用一個索引節(jié)點; 其次，由這個索引節(jié)點得到目錄內(nèi)容的存放位置; 再次，從其內(nèi)容中取出一個個的文件名和它對應的節(jié)點號，從而訪問一個文件。

由此可知文件名是依靠目錄來描述的，文件的內(nèi)容和其他信息則由索引節(jié)點來描述。

被刪文件的恢復策略

Unix下刪除一個文件的過程很簡單，那就是釋放索引節(jié)點表和文件占用的數(shù)據(jù)塊，清空文件占用的索引節(jié)點，但不清除文件內(nèi)容。但刪除文件與刪除目錄的處理不盡相同，不同命令刪除文件的過程也不相同。 Unix 刪除一個文件的具體步驟是: 根據(jù)文件i節(jié)點的地址表逐一釋放文件占用的磁盤數(shù)據(jù)塊，然后清空相應的節(jié)點，最后釋放i節(jié)點。 刪除一個目錄的過程是: 首先逐一刪除目錄里的所有文件，然后刪除目錄。目錄本身也是一個文件，故刪除方法與刪除文件一致。

要恢復被刪除的文件，只能根據(jù)刪除后留下的東西去做文章。文件被刪除后留下了什么呢？由上述分析可知: 其一，留下了文件的內(nèi)容; 其二，留下了“現(xiàn)場”。文件的恢復策略只能從這兩個方面來分析。

1.根據(jù)磁盤現(xiàn)場進行恢復

如果文件被刪除，現(xiàn)場未被破壞(即文件被刪除后硬盤未發(fā)生過寫操作)，而且假定只刪除了一個文件，那么可根據(jù)系統(tǒng)的分配算法進行恢復。因為系統(tǒng)建立一個文件時，必定根據(jù)某一特定的分配算法決定文件占用的數(shù)據(jù)塊位置。而當該文件被刪除后，它所占用的數(shù)據(jù)塊被釋放，又回到系統(tǒng)的分配表中，這時如果重新建立一個文件，系統(tǒng)根據(jù)原來的分配算法分配出的數(shù)據(jù)塊必定跟該文件原來占用的數(shù)據(jù)塊一致。而且我們知道，Unix文件最后一個數(shù)據(jù)塊尾部多出的字節(jié)是全部置0的，據(jù)此只要調(diào)用系統(tǒng)的數(shù)據(jù)分配算法，在系統(tǒng)中一塊一塊地申請數(shù)據(jù)塊，只要發(fā)現(xiàn)一個分配出的數(shù)據(jù)塊中尾部全為0，即可認為文件結束，由此可確定文件長度和內(nèi)容，進而實現(xiàn)恢復。方法如下:

● 申請一個索引節(jié)點，即向系統(tǒng)申請創(chuàng)建一個新文件名而不寫入任何內(nèi)容。如: #>/tmp/xx。

● 調(diào)用系統(tǒng)分配數(shù)據(jù)塊算法getnextfreeblock()得到一個數(shù)據(jù)塊號，記入某一地址表變量中。

● 讀出這個數(shù)據(jù)塊，判斷其尾部是否全部連續(xù)為0，若不是，則回到第二步，若是，則進行第四步。

● 首先用系統(tǒng)函數(shù)fstat得到/tmp/xx的i節(jié)點號，然后將第二步所得的地址表寫入索引節(jié)點的地址表中(注意間址問題)，并根據(jù)數(shù)據(jù)塊個數(shù)和最后一塊中有效數(shù)據(jù)長度計算出文件大小，寫入i節(jié)點的di_size字段。

● 回寫系統(tǒng)的索引節(jié)點表即可。

需要說明的是: 第一，系統(tǒng)分配數(shù)據(jù)塊的算法因不同的Unix版本而不同; 第二，有的Unix如SCO Unix 5.0版，其空閑數(shù)據(jù)塊的分配和回收是使用一種動態(tài)鏈表的數(shù)據(jù)結構來實現(xiàn)的，它們的文件恢復更加容易，只要在空閑鏈表中的表尾去尋找即可。

2. 根據(jù)內(nèi)容恢復

若現(xiàn)場已被破壞，即硬盤發(fā)生過寫操作，那么只好根據(jù)內(nèi)容來恢復。而且，由于Unix是一個多進程、多用戶系統(tǒng)，它每一次開關機或硬件、通信故障等都會記錄系統(tǒng)日志、.sh_history等，硬盤現(xiàn)場被破壞的可能性極大。因此討論按內(nèi)容恢復的方法具有更大的實用價值。筆者經(jīng)過實際探索得出下列四種恢復策略供參考。

● 關鍵字搜索法

如果知道被刪除的文件內(nèi)容中若干字節(jié)的內(nèi)容，而且該文件長度又不超過一個磁盤塊，那么可以在整個文件系統(tǒng)中搜索這一字節(jié)串，得出一個文件所在的數(shù)據(jù)塊，將它們的塊號填入一個i節(jié)點，即可恢復一個文件。搜索文件系統(tǒng)的算法很簡單，說明如下: 首先，用“#df －k”命令確定文件系統(tǒng)的設備文件名(如/dev/root); 然后，用下述函數(shù)搜索，若成功，返回數(shù)據(jù)塊號，反之返回-1。其中fsname是文件系統(tǒng)的設備名，如/dev/root，comp()參數(shù)是實現(xiàn)搜索條件的函數(shù)。

long searchfs(char *fsname , int comp())

{ FILE *fp;

char buf[1024];

long i=0;

fp=fopen(fsname,"r");

while (!feof(fp))

{ fread(buf,1024,1,fp);

if (comp()) /* 檢查是否符合搜索條件 */

return i; /* 若成功返回塊號 */

i++;

}

fclose(fp);

return -1; /* 未找到符合條件的塊，返回-1*/ }

● 精確長度搜索法

如果知道被刪除文件的精確長度(字節(jié)數(shù))，那么可根據(jù)一個數(shù)據(jù)塊的大小，計算出文件的最后一個數(shù)據(jù)塊中數(shù)據(jù)的精確長度，該數(shù)據(jù)塊中其他字節(jié)必然是全0。根據(jù)這一條件，通過搜索整個文件系統(tǒng)，找出其中符合條件的數(shù)據(jù)塊，若出現(xiàn)多個塊符合要求，則還需要根據(jù)其他條件區(qū)分。但不管怎樣，根據(jù)精確長度分析也是恢復數(shù)據(jù)的一個策略。

● 內(nèi)容關聯(lián)法

如果知道文件內(nèi)容中存在某種可實現(xiàn)的關聯(lián)，例如文件的校驗和或者文件內(nèi)容的某種上下文關系，那么也可通過搜索整個文件系統(tǒng)，通過反復嘗試尋找符合關聯(lián)條件的磁盤數(shù)據(jù)塊，進而恢復一個文件。

● 環(huán)境比較法

如果知道刪除文件所在的文件系統(tǒng)的安裝過程，那么，另找一臺完全相同的機器，按原來完全相同的步驟安裝相同版本的Unix和相應的其他軟件?？梢韵胂?，新的機器環(huán)境會與原來的環(huán)境基本相同，比較兩個機器上相同文件系統(tǒng)的內(nèi)容，可以推斷出被刪除文件的大致位置，至少可以大大減少查找的范圍，一旦查找的范圍足夠小時，就可以用逐個觀察和嘗試的方法結合其他條件恢復數(shù)據(jù)，降低恢復的難度，增加恢復的可靠性。 (作者單位: 中國人民銀行撫州市中心支行 )

鏈接

SCO Unix磁盤塊分配算法

由于一個磁盤塊的大小為1024字節(jié)，所以一個位圖塊可以管理0x400×8=0x2000個磁盤塊。那么，下一個位圖塊的塊號就是0x61d+0x2000=0x261d。這與位圖索引塊中的數(shù)據(jù)是相符的。那么，位圖塊0x61d管理著塊號為0x61d-0x261c的磁盤塊。由以上數(shù)據(jù)可見，在這個位圖塊中，第一個被使用的磁盤塊塊號是0x61d，即位圖塊本身。第一個空閑塊塊號由0x187401處字節(jié)0x1c的第2位指示，是0x627。由于該位圖塊是文件卷中的第一個位圖塊，所以0x627號磁盤塊也是文件卷中的第一個空閑塊。當我們向系統(tǒng)申請磁盤塊時，系統(tǒng)通過超級塊、位圖索引塊、位圖塊來尋找那些標志位為1的塊，然后將相應的標置位置0。

當釋放一個磁盤塊時，系統(tǒng)就將相應的標志位置1?，F(xiàn)在，我們就可以判斷出文件卷中的每一個磁盤塊是否被使用了。但是僅憑這些還不能完全恢復誤刪的文件，我們還得了解SCO Unix分配磁盤塊的算法。為了使一個文件所占用的磁盤塊相對集中，SCO Unix是按照特定的算法來選擇空閑塊分配給文件的。假設某文件所占用的最后一個磁盤塊的塊號為m，現(xiàn)在要再分配一磁盤塊給該文件，若該文件是新文件，則m=0。

來源：CCW