在 Linux 系统中，删除了文件，通常是不可逆的。即使有一些恢复工具可以尝试恢复已删除的文件，但成功的几率并不高，特别是在文件的 inode 和数据块被覆盖之后。

一、删除文件的原因

• 释放磁盘空间
• 删除重复或不必要的数据以避免混淆
• 使其他人无法获取敏感信息
• 删除操作系统或清空硬盘驱动器

二、删除文件原理

简要说明

Linux 系统是通过 link 的数量来控制文件删除的，只有当文件不存在任何 link 的时候，这个文件才会被真正删除。

一般来说每个文件两个 link 计数器来控制：i_count 和 i_nlink。

当一个文件被一个程序占用的时候 i_count 就加1。当文件的硬链接多一个的时候 i_nlink 也加1。删除一个文件，就是让这个文件，没有进程占用，同时 i_nlink 数量为0。

详细说明

Linux 删除文件的原理涉及到文件系统的工作方式以及文件的存储结构。在 Linux 中，文件系统使用inode和数据块来管理文件。

文件系统的组成： 文件系统是用来组织和存储文件的一种结构。在 Linux 中，常见的文件系统如ext4、ext3、XFS等。文件系统由以下两个主要组成部分组成：

• Inode（索引节点）： 每个文件在文件系统中都有一个相关联的 inode。Inode记录了文件的元数据信息，如文件的权限、所有者、大小、时间戳等。当你创建一个文件时，会为该文件分配一个 inode。
• 数据块： 文件系统会将文件的实际内容分割成多个数据块，每个数据块的大小通常是固定的（如4KB）。文件的数据块存储了文件的实际内容。

删除文件的过程：当删除一个文件时，实际上是通过删除与文件相关联的inode来实现的，而不是立即删除数据块。以下是删除文件的大致过程：

• 用户删除文件：当用户执行删除操作时，文件系统会接收到删除文件的请求。
• 回收 inode：文件系统将文件的inode标记为“未使用”，以便将来新文件可能会重用这个 inode。
• 释放数据块：文件系统并不立即释放文件的数据块，因为其他正在使用的文件可能仍然需要这些数据块。数据块通常会在文件系统空间紧张时被逐渐回收。
• 真正删除：如果文件被删除的 inode 没有被其他文件使用，而且没有正在打开的文件句柄指向它，文件系统可能会将这个 inode 和其相关的数据块完全删除，并将相应的存储空间标记为可用。

三、恢复误删除的文件

对于误删的文件，能通过软件恢复过来的，误删文件一般分为两种情况:

• 删除文件被进程占用
• 删除文件未被进程占用，只能借助于工具还原文件

进程占用文件

仅提供思路，通过 lsof 工具查找被文件占用的进程， ls-l 查看进程目录/proc/pid/fd/，找到删除进行恢复。

没有进程占用文件

其实最不希望发生这种情况，如果真发生请务必注意以下几点：

• 停止写入：停止所在设备的读入，卸载目录所在的设备；防止 inode 被覆盖，inode 被覆盖基本就告别恢复；
• 备份：对当前设备进行备份；
• 恢复文件：使用恢复工具搜索误删除的文件进行还原（如果可能的话，最好使用另一个存储设备来安装恢复工具）；

参考操作：

• 通过umount命令，对当前设备分区卸载。命令umount /dev/sdb1；如果提示设备busy，可以用fuser命令强制卸载：fuser -m -v -i -k ./
• 通过 dd 命令对当前分区进行备份，防止第三方软件恢复失败导致数据丢失，dd if=/dev/sdb1 of=/backup/sdb1.bak
• 下载第三方工具 extundelete 安装，搜索误删除的文件进行还原

恢复工具参考：

在 Linux 系统中，有一些工具可以用来尝试恢复已删除的文件。这些工具利用文件系统中未被覆盖的磁盘空间来找回被删除文件的 inode 和数据块。请注意，恢复已删除文件的成功率取决于多个因素，包括文件被删除后是否有新数据写入磁盘。

• TestDisk： TestDisk 是一个强大的开源工具，可以用来恢复删除的分区、修复磁盘表和恢复文件。它支持多种文件系统，可以在命令行下使用。
• PhotoRec： PhotoRec 是 TestDisk 的一部分，专门用于恢复照片和其他类型的文件。它可以恢复多种文件格式，包括照片、文档等。
• extundelete： extundelete 是一个专门用于恢复 ext2、ext3 和ext4 文件系统中删除文件的工具。它可以从已删除文件的inode信息和未覆盖的数据块中恢复文件。
• foremost： Foremost 是一个用于数据恢复的工具，可以在已删除文件的块设备上搜索并恢复特定类型的文件，如图片、音频、视频等。
• scalpel： Scalpel 是另一个文件恢复工具，类似于 Foremost，可以在磁盘上搜索并恢复已删除的文件。
• R-Linux： R-Linux 是一个商业工具，提供图形界面，用于恢复已删除的文件和文件夹。它支持多种文件系统。
• PhotoRec： PhotoRec 是一个跨平台的文件恢复工具，可以用于恢复各种文件类型，包括照片、文档、视频等。