先介绍一些文件的基本概念, 文件实际上是一个指向inode的链接, inode链接包含了文件的所有属性, 比如权限和所有者, 数据块地址(文件存储在磁盘的这些数据块中). 当你删除(rm)一个文件, 实际删除了指向inode的链接, 并没有删除inode的内容. 进程可能还在使用. 只有当inode的所有链接完全移去, 然后这些数据块将可以写入新的数据.

proc文件系统可以协助我们恢复数据. 每一个系统上的进程在/proc都有一个目录和自己的名字: 里面包含了一个fd(文件描述符)子目录(进程需要打开文件的所有链接). 如果从文件系统中删除一个文件, 此处还有一个inode的引用:

/proc/进程号/fd/文件描述符

接下来, 你需要知道打开文件的进程号(pid)和文件描述符(fd). 这些都可以通过lsof工具方便获得, lsof的意思是”list open files, 列出(进程)打开的文件”. 然后你将可以从/proc拷贝出需要恢复的数据.

下面介绍在Centos 5 系统上使用lsof恢复误删的文件:

环境
主机: DELL POWEREAGE 2950
系统: CentOS release 5 (Final)
内核: 2.6.18-8.el5
lsof 版本: 4.78

恢复过程 :
首先, 我们需要创建一个文本文件, 删除然后恢复:

[root@localhost ~]# man rsync | col -b > rsync.txt
[root@localhost ~]# more rsync.txt
rsync(1)                                                              rsync(1)



NAME
       rsync - faster, flexible replacement for rcp

SYNOPSIS
       rsync [OPTION]... SRC [SRC]... DEST


CRTL + Z 停止查看

stat rsync.txt
File: `rsync.txt'
Size: 139381          Blocks: 288        IO Block: 4096   regular file
Device: 802h/2050d      Inode: 98407       Links: 1
Access: (0644/-rw-r--r--) Uid: (    0/    root)   Gid: (    0/    root)
Access: 2008-06-04 12:21:26.000000000 +0800
Modify: 2008-06-04 12:21:09.000000000 +0800
Change: 2008-06-04 12:21:09.000000000 +0800

[root@localhost ~]# lsof | grep rsync.txt
more      28119    root    3r      REG        8,2   139381      98407 /usr/home/qipeng1/rsync.txt

程序名more 进程号28819 运行者root 文件描述符3 普通文件

[root@localhost ~]# cp /proc/28119/fd/3 file
[root@localhost ~]# man rsync | col -b > file1
[root@localhost ~]# cmp file file1
[root@localhost ~]#

完全一样 说明被删除的文件 只要文件描述符没有关掉 应该是可以恢复的

参看：

http://www.makeuseof.com/tag/recover-deleted-files-from-your-linux-system/