在Linux中误删除了某个文件,但是 ps-ef|grep 文件名 发现某个进程还在使用该文件,那么可以通
过以下方式恢复文件。
例如:
创建一个简单文件/tmp/test.txt, 随便向里面写点内容
两个client模拟,client1 负责打开文件less /tmp/test.txt(模拟占用线程)
client2 负责恢复文件
恢复步骤(均在client2上执行)
1. 查看/tmp/test.txt被占用的进程id
[root@host tmp]# ps -ef|grep test.txt
root 31631 31539 0 09:35 pts/0 00:00:00 less test.txt
root 31649 31579 0 09:36 pts/1 00:00:00 grep test.txt
2. cd /proc/31631/fd 文件夹中
3. 执行ll命令
[root@host fd]# ll
total 0
lrwx------ 1 root root 64 Dec 3 09:36 0 -> /dev/pts/0
lrwx------ 1 root root 64 Dec 3 09:36 1 -> /dev/pts/0
lrwx------ 1 root root 64 Dec 3 09:36 2 -> /dev/pts/0
lr-x------ 1 root root 64 Dec 3 09:36 3 -> /dev/tty
lr-x------ 1 root root 64 Dec 3 09:36 4 -> /tmp/test.txt (deleted)
4. 发现了4是软连接到 /tmp/test.txt 文件中的
cat 4 即可找到删除的文件内容
以下是/proc目录中进程N的信息
/proc/N/cmdline 进程启动命令
/proc/N/cwd 链接到进程当前工作目录
/proc/N/environ 进程环境变量列表
/proc/N/exe 链接到进程的执行命令文件
/proc/N/fd 包含进程相关的所有的文件描述符
/proc/N/maps 与进程相关的内存映射信息
/proc/N/mem 指代进程持有的内存,不可读
/proc/N/root 链接到进程的根目录
/proc/N/stat 进程的状态
/proc/N/statm 进程使用的内存的状态
/proc/N/status 进程状态信息,比stat/statm更具可读性
/proc/self 链接到当前正在运行的进程