這次要介紹的工具是extundelete, 這套開源工具是可以將在EXT3/EXT4 檔案系統中誤刪的檔案或目錄夾救回來的方便工具. 救回來的機率並非百分之百, 平時還是建議要有良好的備份習慣.

剛好筆者在不久前在command history 中使用!number , 然後就自動執行了rm -rf xxx, 讓我的資料跟設定瞬間消失了 ... , 明明那個數字不該是執行這個要剁手的指令啊 ... 然後這篇文章也就是這麼產生了 ....

以下是安裝及使用範例:

1. 使用以下命令安裝 (以ubuntu OS為例)

apt install extundelete

PS: 如果對官網有興趣的朋友, 請參考此連結: extundelete official website
2. 列出原有的目錄資料, 將資料夾內的usicontrol.py 刪除或刪除deldir 目錄夾

* 刪除單一檔案
rm uiscontrol.py
* 刪除目錄夾
rm -rf deldir

3. 務必先確認想要救的在dev資料夾的哪個目錄下

lsblk

PS: 筆者想要救的目錄在/opt/demo, 位於/dev/sda1中
4. 查詢該目錄的inode, 得知該目錄的inode 是9036698

ls -id /opt/demo

4. 查詢inode 9036698中被刪除的資料有哪些

extundelete /dev/sda1 --inode 9036698

5. 執行後會出現警告訊息: (大意是希望想要被救援資料的磁碟可以先執行過fsck及卸載)
   
   PS: 筆者沒有嘗試過卸除後使用第二個磁碟的方式做救援, 如有興趣請自行嘗試
   P.P.S: fsck 會增加資料救援難度, 請不要輕易使用這個命令 (不管是要自己拯救資料或送給專業的資料救援中心都一樣)
6. 在跑完比對資料後, 會看到被刪除(Deleted)的資料

• 單一檔案
  
• 目錄夾
  

7. 開始還原單一項目的資料

* 還原單一檔案
extundelete /dev/sda1 --restore-file /opt/demo/uiscontrol.py
* 還原資料夾
extundelete /dev/sda1 --restory-directory /opt/demo/deldir

• 單一檔案
  
  PS: 執行時還是會看到建議要先卸載的警告訊息, 可忽略或可以跟著做
• 拯救被刪除的資料夾
  
  PS: 筆者發現如果在沒有卸除磁碟的狀態下, 拯救資料夾的行動容易失敗, 以上就是失敗案例. 如果想要增加救援成功率, 請記得要掛在第二個磁碟內再進行相關動作

8. 救回來的資料會被存放在RECOVERED_FILES中
   
9. 完成