当用户意外地删除了一个仍然需要的文件时,大多数情况下,是没有简便的方法可以重新找回或重建这个文件。不过,幸运的是文件是可以通过一些方法恢复的。当用户删除了一个文件,该文件并没有消失,只是被隐藏了一段时间。
这里将解释它是如何工作的。在一个文件系统中,有一个叫做文件分配表的东西,这个表跟踪文件在存储单元(如硬盘,MicroSD卡,闪存驱动器等等)中的位置。当一个文件被删除,文件系统将会在文件分配表中执行以下两个任务之一:这个文件在文件分配表上的条目被标记为自由空间或删除文件分配表里这个文件的条目,且将相应的空间被标记为自由空间。现在,如果有一个新的文件需要被放置在一个存储单元上,操作系统将会把这个文件放置到标记为空位的地方。在新文件被写入到这个空位后,被删除的文件就彻底消失了。当需要恢复一个已经删除的文件时,用户绝对不能再对任何文件进行操作,因为假如该文件对应的空位被占用,这个文件就永远也不能恢复了。
恢复软件是如何工作的?
大多数的文件系统(在删除文件时)只是标记空间为空白。在这些文件系统下,恢复软件查看文件分配表这个文件,然后复制被删除的文件到另外的存储单元中。假如该文件被复制到其它需要恢复的被删除的存储单元中,那么用户将有可能会失去那个所需的删除文件。
文件系统很少会擦除文件分配表中的条目。假如文件系统真的这样做了,这便是恢复软件在恢复文件了。恢复软件在存储单元中扫描文件头,所有文件都拥有一个特殊的编码字符串,它们位于文件的最前面,也被叫做魔法数字。例如,一个编译的JAVA类文件的魔法数字在十六进制中是CAFEBABE。所以,假如要恢复该类型的文件,恢复软件会查找CAFEBABE然后复制文件到另一个存储单元。一些恢复软件可以查找某种特殊的文件类型。若用户想恢复一个PDF文件,则恢复软件将会查找十六进制的魔法数字25504446,这恰恰是ASCII编码中的%PDF。恢复软件将会查找所有的魔法数字,然后用户可以选择恢复哪个已删除的文件。
假如一个文件的部分被覆写了,则整个文件就会被损坏。通常这个文件可以被恢复,但是其中的内容可能已经没有什么用处。例如,恢复一个已损坏的JPEG文件将会是无意义的,因为图片查看器不能从这个损坏的文件产生一幅图片。因此,即使用户拥有了这个文件,该文件也将毫无用处。
设备的位置:
在我们继续之前,下面的一些信息将会对指引恢复软件找到正确的存储单元起到一定的帮助。所有的设备均挂载在/dev/目录下。操作系统赋予每个设备的名称(并不是管理员给予每个分区或设备的名称)遵循一定的命名规律。
第一个SATA硬盘的第二个分区的名称将会是sda2。名称的第一个字母暗示了存储类型,在这里指的是SATA,但字母s也可能指的是SCSI、FireWire(火线端口)或USB。第二个字母d指的是disk(硬盘)。第三个字母指的是设备序数,即字母a指的是第一个SATA而b指的是第二个。最后的数字代表分区。没有分区数字的设备名代表该设置的所有分区。对于上面的例子,对应的名称为sda。作为命名的第一个字母还可能是h,这对应PATA硬盘(IDE)。
以下为命名规律的一些例子。假如一个用户有一个SATA硬盘(sda),这个设备有4个分区-sda1、sda2、sda3和sda4。该用户删除了第三个分区,但直到格式化第四个分区之前,第四个分区名sda4都将保留不变。然后该用户插入了一个带有一个分区-即sdb1-的usb存储卡(sdb),又增加了一个带有一个分区-hda1-的IDE硬盘,接着该用户又增加了一个SCSI硬盘-sdc1。接着用户移除了USB存储卡(sdb)。现在,SCSI硬盘的名称仍然为sdc,但如果这个SCSI被移除接着再被插入,则它的名称将变为sdb。虽然还有其他的存储设备存在,那个IDE硬盘的名称仍会有一个a,因为它是第一个IDE硬盘,IDE设备的命名与SCSI、SATA、FireWire和USB设备要分开计数。
使用TestDisk进行恢复:
每个恢复软件有其不同的功能,特征及支持的不同文件系统。下面是一些关于使用TestDisk在各种文件系统中恢复文件的指南。
FAT16、FAT32、exFAT(FAT64)、NTFS以及ext2/3/4:
TestDisk是一个运行在Linux、*BSD、SunOS、MacOSX、DOS和Windows等操作系统下的开源的自由软件。TestDisk可以从下面的链接中找到:http://www.cgsecurity.org/wiki/TestDisk。TestDisk也可以通过键入sudoapt-getinstalltestdisk来安装。TestDisk有着许多的功能,但这篇文章将只关注恢复文件这个功能。
使用root权限从终端中打开TestDisk可以通过键入sudotestdisk命令。
现在,TestDisk命令行应用将会被执行。终端的显示将会改变。TestDisk询问用户它是否可以保留日志,这完全由用户决定。假如一个用户正从系统存储中恢复文件,则不必保留日志。可选择的选项有生成、追加和无日志。假如用户想保留日志,则日志将会保留在该用户的主目录。
在接着的屏幕中,存储设备以/dev/*的方式被罗列出来。对于我的系统,系统的存储单元为/dev/sda,这意味着我的存储单元为一个SATA硬盘(sd)且它是第一个硬盘(a)。每个存储单元的容量以Gigabyte(千兆字节)为单位显示的。使用上下键来选择一个存储设备然后点击进入。
下一屏显示出一个列有分区表(也叫做分区映射表)的清单。正如文件有文件配置表,分区有着分区表。分区是存储设备上的分段。例如在几乎所有的Linux系统中,至少存在两种分区类型-EXT3/4和Swap。每一个分区表将会在下面被简要地描述。TestDisk并不支持所有类型的分区表,所以这并不是完整的列表。
- Intel-这类分区表在Windows系统和许多的Linux系统中非常普遍,它也常常称作MBR分区表。
EFIGPT-这种类型的分区表通常用在Linux系统中。对于Linux系统,这种分区表是最为推荐的,因为逻辑分区或扩展分区的概念并不适用于GPT(GUIDPartitionTable)分区表。这意味着,如果每个分区中有一个Linux系统,一个Linux用户可以从多种类型的Linux系统中进行多重启动。当然使用GPT分区表还有其他的优势,但那些已超出了本文的讨论范围。
Humax-Humax分区映射表适用于韩国公司Humax生产的设备。
Mac-Apple分区映射表(APM)适用于Apple的设备。
None-某些设备并没有分区表。例如,许多Subor游戏控制台不使用分区映射表。如果一个用户试图以其它分区表类型从这类设备中恢复文件,用户就会困扰TestDisk为何找卟到任何的文件系统或者文件。
Sun-Sun分区表适用于Sun系统。
Xbox-Xbox适用于使用Xbox分区映射表的存储设备。
假如用户选择了Xbox,尽管他的系统使用了GPT分区表,那么TestDisk将不能找到任何分区或文件系统。假如TestDisk按照用户的选择执行,则它可能猜测错误。(下面的图片显示的是当分区表类型错误时的输出)
当用户为他们的设备选择了正确的选项,则在下一屏中,选择高级选项。
现在,用户将看到一个列有用户存储设备中所有的文件系统或分区的列表。假如用户选择了错误的分区映射表,则在这一步中用户就将会知道他们做出了错误的选择。假如没有错误,通过移动文字光标来高亮选择含有被删除文件的分区。使用左右键来高亮位于终端底部的列表。接着,按下回车确认。
新的一屏便会呈现出列有文件和目录的列表。那些白色的文件名就是未被删除的文件,而红色的文件名是那些已被删除的文件。最右边的一列是文件的名称,从右到左方向的接着一列是文件的创建日期,再往左的一列是文件的大小(以byte/比特为单位),最左边带有-,d,r,w和"x"的一列则代表的是文件的权限情况。d表示该文件为一个目录,其他的权限术语与本文关系不大。在列表的最顶端以.代表的一项表示当前目录,第二行以".."代表的一项表示当前目录的上级目录,所以用户可以通过选择目录所在行到达该目录。
举个例子,我想进入"Xaiml_Dataset"目录,该目录基本上由被删除的文件组成。通过按键盘上的"c"键,我将恢复文件"computers.xaiml",接着我被询问选择一个目标目录,当然,我应该放置该文件到另一个分区中。现在,当我在我的家目录时,按下了c键。(选择目标目录时)哪个目录被高亮并没有什么影响,当前目录就是目标目录,在屏幕的上方,将会显示复制完成的消息。在我的家目录中便会有一个名为"Xaiml_Dataset"的目录,里面里有一个Xaiml文件。假如我在更多的已删除文件上按c键,则这些文件将会被放置到新的文件夹中而无需再向我询问目标目录。
当这些步骤完成后,重复按q键直到看到正常的终端模样。目录"Xaiml_Dataset"只能被root用户访问。为了解决这个问题,使用root权限改变该目录及其子目录的权限。做完这些后,文件便被恢复了且用户可以访问它们。
特别的ReiserFS:
为了从ReiserFS文件系统中恢复一个文件,首先需将分区中的所有文件做一个备份。因为如果发生某些错误,这个方法可能会引起文件丢失。接着执行下面的命令,其中DEVICE指的是那些以sda2形式命名的设备。一些文件将被放入lost+found目录而其他则会保存到原先被删除的位置。
复制代码