Linux下誤刪檔案的恢複

unrm
http://packetstormsecurity.com/UNIX/utilities/unrm-0.92.tar.gz
一個小工具，實際上使用了linux下的debugfs命令，簡化了手工使用debugfs的步驟，
沒有什麼互動的介面，恢複的檔案直接放倒一個固定目錄下面

根據這一次的情況，那些體積龐大，需要安裝的工具不在選擇範圍。我使用了unrm,為了
不破壞資料盤內容，我把這個小工具放倒/boot區展開.假設我們需要恢複的是aaa
這個使用者的郵件

修改一下這個指令碼中mount的路徑（原來是/usr/sbin/mount ,這個系統是/usr/bin)
看看/所在地分區裝置為 /dev/sda2

./unrm /dev/sda2 -u qmail -s aaa

恢複使用者qmail被刪除的檔案，檔案中有aaa這個字串。
實際發現這個-s參數沒有作用

使用./unrm /dev/sda2 -u qmail 後，自動在目前的目錄下生了一個unrm.recover的目錄
各個被恢複的檔案以unrm.xxxxxx 方式存放在裡面
經過過濾
grep aaa * | cut -d : -f 1 | uniq
找到這些檔案名稱，然後cp到原來的qmail郵件用目錄中(Maildir/new)
這次的結果是恢複了35個檔案，但是有4個已經基本被破壞了，完整恢複的只有31個
試著收取郵件，一切正常。

從這次恢複工作來看，在linux的ex2檔案系統下恢複，比以前在solairs下恢複ufs系統要
方便很多，主要ufs在刪除以後，各個檔案區塊都沒有連結關係，而ex2有點類似與
fat系統，小檔案只是丟失了第一個區塊的inode號，後面的區塊還是有連結關係的
，大的檔案好像在一定數目的區塊後，才沒有連結關係。
在ufs下恢複檔案，可能還是tct相對效果要好一些。

注，經過我測試，在Centos5上，unrm是可以正常恢複檔案的．但有一個小問題，解決方案是

ln -s /bin/mount /sbin/mount.希望對你有協助