简单了解dd、ext3grep、extundelete与linux数据恢复

现网一台SUSE主机，被同事不小心干掉了一个文件。不过在用想通过ext3grep或extundelete这类工具进行恢复时，发现在编译过程中，总是提示“configure: error: Can't find ext2fs library”。因为在SUSE源里没有e2fsprogs-devel、e2fsprogs-libs包，在通过源码安装e2fsprogs后，发现还是有该问题。而redhat上不存在该问题，redhat可以直接通过下面的命令安装依赖：

yum install e2fsprogs e2fsprogs-libs e2fsprogs-devel

注：无论ext3grep还是extundelete，都需要依赖和底层文件系统相关的包e2fsprogs e2fsprogs-libs e2fsprogs-devel 。

先说下LINUX上的文件删除rm，实际上 rm 文件并未从磁盘上清理，只是将其所在的块（inode）进行了重新标记，标记为可擦除可写。而数据恢复软件就是读取到这些inode，再从而恢复相应的数据（前提是未被其他数据覆写的情况下）。

在LINUX在有一个按数据块进行读取备份的工具dd，既然dd是按数据库读取备份的，那其在他数据盘或分区上还原时，也会把 rm 删除的数据块同样写过去。在另一台可以正常安装恢复软件的主机上，通过相应的恢复软件扫描就可以恢复数据了。

源主机：SUSE被删除数据主机（/dev/sda6）

目标机：redhat主机（/dev/sda2）

注意，这里有一个要求，目标主机的/sda2空间一定要大于或等于sda6。新老主机上分区格式要一致，要同为ext3 或 ext4

# 老主机上
dd if=/dev/sda6 | gzip -9 > /mnt/tmpback.img.gz
# 新主机上
mkfs.ext3 /dev/sda2
zcat /tmp/tmpback.img.gz | dd of=/dev/sda2
extundelete /dev/sda2 --inode 2

上面在备份的时候使用了gzip进行最高级别的压缩，由于 dd和gzip都只能使用单核资源，所以操作会比较慢，如果空间足够，新老主机之间网络传输又快的，可以直接 dd if=/dev/sda6 of=/opt/tmpbackup.dd 不压缩备份，备份出的大小会和原来的磁盘分区大小一样大。

恢复单个文件，会在当前目录下生成一个RECOVERED_FILES目录，里面保存已经恢复的文件：
extundelete /dev/sda2 --restore-file passwd
根据inode进行恢复
extundelete /dev/sda2 --restore-inode
恢复单个目录：
extundelete /dev/sda2 --restore-directory /mongodb
恢复所有误删文件：
extundelete /dev/sda2 --restore-all

extundelete还可以实现恢复某个时间段的数据。可以通过“--after”和“--before”参数实现！

查询需要恢复的数据信息：
# ext3grep /mydata/disk1 --ls --inode 2
恢复单个文件
# ext3grep /mydata/disk1 --restore-file ext3grep.txt
根据inode恢复
# ext3grep /mydata/disk1 --restore-inode 12
恢复所有文件
# ext3grep /mydata/disk1 --restore-all

extundelete：扫描inode和恢复数据同时进行，因此恢复速度很快。支持单个文件，单个目录和完整磁盘恢复；

ex3grep：只能恢复ex3的数据，不支持目录恢复和时间恢复。

dd备份出来再在其他主机上恢复还有一个好处，即使在恢复过程中有不当操作，我们仍保留一份源数据，依然可以通过还原后，再用其他工具扫描。

特别需要注意的一点：一但主机发生意外删除的，一定要先将当前分区置为只读，如： mount -o remount,ro /tmp 。