列出的檔有很多(這里找到2692個)，第一字段是檔節點號，第二字段是檔所有者，第三字段是讀寫權限，接下來是檔大小，占用塊數，刪除時間。然后就可以根據檔大小和刪除日期判斷那些是我們需要的。比如我們要恢復節點是196829的文件：

可以先看看文件資料狀態：以下為引用的內容：

debugfs：stat<196829>

Inode:196829Type:regularMode:0644Flags:0x0Version:1

User:0Group:0Size:149500

FileACL:0DirectoryACL:0

Links:0Blockcount:38

Fragment:Address:0Number:0Size:0

ctime:0x31a9a574--MonMay2713:52:042001

atime:0x31a21dd1--TueMay2120:47:292001

mtime:0x313bf4d7--TueMar508:01:272001

dtime:0x31a9a574--MonMay2713:52:042001

BLOCKS:

594810594811594814594815594816594817

………………………………….

TOTAL:38

然后就可以用dump指令恢復文件：

debugfs：dump<196829>/mnt/hda/01.sav

這樣就把檔恢復出來了。退出debugfs：

debugfs：quit

另一種方法是手工編輯inode：以下為引用的內容：

debugfs：mi<196829>

Mode[0100644]

UserID[0]

GroupID[0]

Size[149500]

Creationtime[0x31a9a574]

Modificationtime[0x31a9a574]

Accesstime[0x31a21dd1]

Deletiontime[0x31a9a574]0

Linkcount[0]1

Blockcount[38]

Fileflags[0x0]

Reserved1[0]

Fileacl[0]

Directoryacl[0]

Fragmentaddress[0]

Fragmentnumber[0]

Fragmentsize[0]

DirectBlock#0[594810]

…………………………….

TripleIndirectBlock[0]

使用mi指令后每次顯示一行信息以供編輯，其它行可以直接按回車表示確認，把deletiontime改成0(未刪除)，Linkcount改成1。改好后退出debugfs：

debugfs：quit

然后用fsck檢查/dev/hda5

fsck/dev/hda5

程序會說找到丟失的數據塊，放在lost+found里面。這個目錄里的文件就是我們要的。

總結

以上是生活随笔為你收集整理的linux下反删除软件,浅谈Linux文件系统反删除方法（二）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。