Восстановление открытого удаленного из системы файла на FreeBSD

Восстановить файл, который в системе удален, но еще открыт каким-то процессом, можно при помощи набора утилит Sleuth Kit (www.sleuthkit.org).

1. нужно узнать номер иноды, которую имеет удаленный открытый файл:

~> lsof +aL1 /

Вместо / нужно указать раздел, где был файл (или поочередно запускать на все разделы, если не знаете, в каком находится открытый файл. Пример вывода:

~> lsof +aL1 /home
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NLINK NODE NAME
less    29154 root    4r  VREG   0,87        8     0 33043586 /home (/dev/ad0p7)

2. используйте утилиту icat, которая откроет файл по номеру иноды:

~> icat -r /dev/ad0p7 33043586 > /path/to/new-filename

Если вы знаете имя каталога, где открыт файл, его имя можно получить непосредственно из каталога (пока файл открыт и не удален окончательно):

cat /home/work | strings

/home/work — это каталог. Но из полученной белиберды еще нужно удалить символы вида “^X” и имена существующих файлов. Более элегантный способ:

~> ls -1ai /home/
33044046 work/

~> fls -dF /dev/ad0p7 33044046
r/r * 33043586(realloc):        testme

В первой команде я узнал номер иноды каталога /home/work, затем вывел все удаленные файлы. testme – тот самый удаленный файл, открытый в less’е.

/home/ports/sysutils/sleuthkit
/home/ports/sysutils/lsof

Теги: , , , , , , ,

Администратор сисек

В этом году компания Айдеко решила снова провести конкурс, проводился он на сайте admin2010.ru. В прошлом году мне прислали сертификат (приятно, да 🙂 ), поэтому в этом году я тоже ради интереса решил пройти конкурс.

По результатам ответов, мой уровень “Опытный”, я правильно ответил на 14/21 вопросов (66%). С тремя вопросами я действительно лохонулся ;(, а мог бы ответить правильно. Это вопрос 12, о свитче, 16-й, о вирусе и 5-й, о RAID (c какого перепуга я выбрал 3-й вариант – ума не приложу, скорее всего просто банальная ошибка, промахнулся))).

С вопросами 17 и 19 я в корне не согласен. Я ооочень сомневаюсь, что блондинка придумает такой длинный вопрос, это скорее всего блондинка прошлого поколения, новые реально круче, они не заморачиваются лишними телодвижениями 😉

В 19-й задаче есть даже ПРИПИСКА:

Комментарий: Решение этой задачи выполняется в консоли.

Вот моя консоль:

~> time dig google.com @80.71.245.245
;; Query time: 29 msec
;; SERVER: 80.71.245.245#53(80.71.245.245)
0.000u 0.004s 0:00.02 0.0%      0+0k 0+0io 0pf+0w

~> time dig google.com @24.113.32.30
;; Query time: 193 msec
;; SERVER: 24.113.32.30#53(24.113.32.30)
0.000u 0.004s 0:00.20 0.0%      0+0k 0+0io 0pf+0w

~> time dig google.com @213.92.79.59
;; Query time: 90 msec
;; SERVER: 213.92.79.59#53(213.92.79.59)
0.000u 0.004s 0:00.09 0.0%      0+0k 0+0io 0pf+0w

Я честно ответил – 80.71.245.245.

Теперь объясните мне, с какого зайца

имеется два правильных ответа: 24.113.32.30 и 213.92.79.59.

а?

Россия вперде! =))

Но все равно приятно, сертификат как-нибудь распечатаю)))


Теги: , , , , , , ,