如何恢复被删除的Unix文件

海外服务器 (635) 2015-11-19 13:41:50

与DOS/Windows不同,UNIX文件被删除后很难恢复,这是由UNIX独特的文件系统结构决定的。UNIX文件目录不像DOS/Windows那样,文件即使被删除之后仍保存有完整的文件名、文件长度、始簇号(即文件占有的第一个磁盘块号)等重要信息;相反,它的文件信息全部依靠一种被称为i节点的数据结构来描述,而i节点在相应文件被删除之后即被清空,因此,要想直接恢复被删除的文件内容几乎是不可能的,必须另辟蹊径。本文结合实际,讨论几种文件恢复策略及其关键步骤的具体实现。 

一、UNIX文件系统结构 

我们知道,UNIX是以文件卷作为其文件系统存储格式的,而不同的UNIX系统,文件卷格式是有差异的,甚至即使是同一UNIX操作系统的不同版本,其文件系统未必完全相同,例如:SCO UNIX 4.1版与5.0版文件系统结构就有明显差异,但只要是UNIX系统,其文件卷的基本结构是一致的。分析如下: 

不管是什么UNIX系统,不管什么版本,其文件卷至少包括引导块、超级块、i节点表、数据区等几个部分。除此之外,不同UNIX版本可能还有不同的差异。例如:SCO UNIX系统的位图索引块和位图块AIX的逻辑卷表等。这些系统的特殊性不影响下文的恢复策略,故这里不作讨论,仅介绍标准UNIX文件卷结构。 

1. 引导块 

位于文件卷最开始的第一扇区,这512字节是文件系统的引导代码,为根文件系统所特有,其他文件系统这512字节为空。 

2. 超级块 

位于文件系统第二扇区,紧跟引导块之后,用于描述本文件系统的结构。如i节点长度、文件系统大小等,其结构存放于/usr/include/sys/filsys.h中,其结构如下:

struct filsys 

ushort s_isize; /*磁盘索引节点区所占用的数据块数*/ 

daddr_t s_fsize; /*整个文件系统的数据块数*/ 

short s_nfree; /*在空闲块登录表中当前登记的空闲块数目*/ 

daddr_t s_free[NICFREE]; /*空闲块登记表*/ 

short s_ninode; /*空闲索引节点数*/ 

ino_t s_inode[NICINOD]; /*空闲节点登记表*/ 

char s_flock; /*加锁标志位*/ 

char s_ilock; /*节点加锁标志位*/ 

char s_fmod; /*超级块修改标志*/ 

char s_ronly; /*文件系统只读标志*/ 

time_t s_time; /*超级块上次修改的时间*/ 

short s_dinfo[4]; /*设备信息*/ 

daddr_t s_tfree; /*空闲块总数*/ 

ino_t s_tinode; /*空闲节点总数*/ 

char s_fname[6]; /*文件系统名称*/ 

char s_fpack[6]; 

long s_fill[13]; /*填空位*/ 

long s_magic; /*指示文件系统的幻数*/ 

long s_type; /*新文件系统类型*/ 

}; 

3. i节点表 

i节点表存放在超级块之后,其长度是由超级块中的s_isize字段决定的,其作用是用来描述文件的属性、长度、属主、属组、数据块表等,其数据结构在/usr/include/sys/ino.h中,如下:

struct dinode 

ushort di_mode; 

short di_nlink; 

ushort di_uid; 

ushort di_gid; 

off_t di_size; 

char di_addr[40]; 

time_t di_atime; 

time_t di_mtime; 

time_t di_ctime; 

}; 

4. 目录结构 

UNIX所有文件均存放于目录中,目录本身也是一个文件。目录存放文件的机制如下:首先,目录文件本身也象普通文件一样,占用一个索引节点,其次,由这个索引节点得到目录内容的存放位置,再次,从其内容中取出一个个的文件名和它对应的节点号,从而访问一个文件。目录结构如下:

索引节点号(2字节) .(本目录)(14字节) 

索引节点号(2字节) ..(父目录)(14字节) 

索引节点号(2字节) 文件名(14字节) 

索引节点号(2字节) 文件名(14字节) 

索引节点号(2字节) 文件名(14字节) 

THE END