我们知道Unix文件被删除的过程很简单,那就是释放索引节点表和文件占用的数据块,清空文件占用的索引节点,但不清除文件内容。但删除文件与删除目录的处理不尽相同,不同命令删除文件的过程也不相同。
Unix文件被删除一个的具体步骤是: 根据文件i节点的地址表逐一释放文件占用的磁盘数据块,然后清空相应的节点,***释放i节点。 删除一个目录的过程是: 首先逐一删除目录里的所有文件,然后删除目录。目录本身也是一个文件,故删除方法与删除文件一致。
要恢复被删除的文件,只能根据删除后留下的东西去做文章。文件被删除后留下了什么呢?由上述分析可知: 其一,留下了文件的内容; 其二,留下了“现场”。文件的恢复策略只能从这两个方面来分析。
根据磁盘现场进行恢复
如果文件被删除,现场未被破坏(即文件被删除后硬盘未发生过写操作),而且假定只删除了一个文件,那么可根据系统的分配算法进行恢复。因为系统建立一个文 件时,必定根据某一特定的分配算法决定文件占用的数据块位置。
而当该文件被删除后,它所占用的数据块被释放,又回到系统的分配表中,这时如果重新建立一个 文件,系统根据原来的分配算法分配出的数据块必定跟该文件原来占用的数据块一致。
而且我们知道,Unix文件***一个数据块尾部多出的字节是全部置0的, 据此只要调用系统的数据分配算法,在系统中一块一块地申请数据块,只要发现一个分配出的数据块中尾部全为0,即可认为文件结束,由此可确定文件长度和内 容,进而实现恢复。方法如下:
申请一个索引节点,即向系统申请创建一个新文件名而不写入任何内容。如: #>/tmp/xx。
调用系统分配数据块算法getnextfreeblock()得到一个数据块号,记入某一地址表变量中。
读出这个数据块,判断其尾部是否全部连续为0,若不是,则回到第二步,若是,则进行第四步。
首先用系统函数fstat得到/tmp/xx的i节点号,然后将第二步所得的地址表写入索引节点的地址表中(注意间址问题),并根据数据块个数和***一块中有效数据长度计算出文件大小,写入i节点的di_size字段。 回写系统的索引节点表即可。
需要说明的是: ***,系统分配数据块的算法因不同的Unix版本而不同; 第二,有的Unix如SCO Unix 5.0版,其空闲数据块的分配和回收是使用一种动态链表的数据结构来实现的,它们的Unix文件恢复更加容易,只要在空闲链表中的表尾去寻找即可。
【编辑推荐】