二、文件的删除过程;
UNIX下删除一个文件的过程很简单,那就是释放索引节点表和文件占用的数据块,清空文件占用的索引节点,但不清除文件内容 。但删除文件与删除目录的处理不尽相同,不同命令删除文件的过程也不相同 。;
1. 删除一个文件;
UNIX 删除一个文件的具体步骤是:根据文件i节点的地址表逐一释放文件占用的磁盘数据块,然后清空相应的节点,最后释放i节点 。;
2. 删除一个目录;
删除一个目录的过程:首先逐一删除目录里的所有文件,然后删除目录 。目录本身也是一个文件,故删除方法与删除文件一致 。;
3. 几种不同的删除命令;
.rm 命令;
一般删除命令,删除过程上述已说明 。;
.mv命令;
格式:mv 文件1 文件2;
处理过程是将文件2的数据块释放,然后将文件1的名称改为文件2,再释放文件2所占的i节点 。;
【UNIX系统被删文件的恢复策略】. > 命令;
格式:>文件名;
若产生一个新文件,>命令仅仅申请一个i节点,而不写入任何文件内容;若清空一个已经存在的文件,则释放文件所占的数据块,并将文件长度清零 。;
三、被删文件的恢复策略;
要恢复被删除的文件,只能根据删除后留下的东西去做文章 。文件被删除后留下了什么呢?由上述分析可知:其一、留下了文件的内容;其二、留下了“现场” 。文件的恢复策略只能从这两个方面来分析 。以下谈几种恢复策略 。;
1.根据磁盘现场进行恢复;
如果文件被删除,现场未被破坏(即文件被删除后硬盘未发生过写操作),而且假定只删除了一个文件,那么可根据系统的分配算法进行恢复 。因为系统建立一个文件时,必定根据某一特定的分配算法决定文件占用的数据块位置 。而当该文件被删除后,它所占用的数据块被释放,又回到系统的分配表中,这时如果重新建立一个文件,系统根据原来的分配算法分配出的数据块必定跟该文件原来占用的数据块一致,而且我们知道,UNIX文件最后一数据块尾部多出的字节是全部置0的,据此只要调用系统的数据分配算法,在系统中一块块的申请数据块,因为UNIX文件最后一个数据块尾部多出的字节全部为0,所以,只要发现一个分配出的数据块中尾部全为0,即可认为文件结束,由此可确定文件长度和内容,进而实现恢复 。方法如下:;
⑴申请一个索引节点,即向系统申请创建一个新文件名而不写入任何内容 。如:#>/tmp/xx;
⑵调用系统分配数据块算法getnextfreeblock()得到一个数据块号,记入某一地址表变量中 。;
⑶读出这个数据块,判断其尾部是否全部连续为0,若不是,则回到(2),若是,则进行(4) 。;
⑷首先用系统函数fstat得到/tmp/xx的i节点号,然后将(2)步所得的地址表写入索引节点的地址表中(注意间址问题),并根据数据块个数和最后一块中有效数据长度计算出文件大小,写入i节点的di_size字段 。;
⑸回写系统的索引节点表即可 。;
需要说明的是,第一,系统分配数据块的算法因不同的UNIX版本而不同;第二,有的UNIX如SCO UNIX 5.0版,其空闲数据块的分配和回收是使用一种动态链表的数据结构来实现的,它们的文件恢复更加容易,只要在空闲链表中的表尾去寻找即可,笔者另行描述 。;
2. 根据内容恢复 。;
若现场已被破坏,即硬盘发生过写操作,那么只好根据内容来恢复 。而且,由于UNIX是一个多进程、多用户系统,它每一次开关机或硬件、通讯故障等都会记录系统日志、.sh_history等,硬盘现场被破坏可能性极大 。因此讨论按内容恢复的方法具有更大的实用价值 。笔者经过实际探索得出下列四种恢复策略供参考 。;
推荐阅读
- 利用Ghost软件快速安装和恢复系统
- 跟“系统崩溃”说再见
- 打开开始菜单的第三只手
- 微信被拉黑发消息会显示什么
- 解读windows系统中TMP格式文件
- 华为官网怎么申请鸿蒙系统
- 什么是操作系统的SID?
- qq怎么解除被恶意举报 恶意举报解除方式一览
- 让你的系统一尘不染,天天都是新系统
- Windows系统自动启动程序藏匿地点知多少