我试图删除这个在我的系统中复制自身的特洛伊木马,在成功查看该特洛伊木马的所有实例后,find / -name trojan
我使用了然后find / -delete -name trojan
立即开始在与该特洛伊木马无关的文件上看到“不允许操作”,因此我终止了该命令Ctrl-C 但现在我遇到了一些问题。
据我所知,我的重要文件仍然在那里,而且我无法弄清楚它删除了什么,但是我无法打开新的终端窗口,我收到一条消息说“/bin/bash”没有这样的文件或目录,但是如果我打开文件资源管理器,它会显示 bash 以及所有其他 bin 文件位于 /bin 中。另外,我仍然打开一个终端,但唯一有效的命令是内置命令(cd、echo 等),如果我尝试执行 ls 操作,我会发现 /bin/ls 找不到。同样,如果我输入任何非内置命令,我会收到相同的消息,但它会准确地告诉我该文件的位置(我可以在资源管理器中看到它),然后说没有这样的文件或目录。
我该如何恢复?有没有办法找出我的系统缺少什么?
答案1
find / -delete -name trojan
尝试删除根文件系统上的所有文件。您要使用的命令是
find / -name trojan -delete
很抱歉带来坏消息,但你的系统很糟糕。您应该从 Live CD 启动,将系统上可能遗留的任何重要个人文件复制到外部驱动器上,然后重新安装。
答案2
我写了一篇关于如何在 Linux 系统上从大量删除文件中恢复的操作指南(当时它还只是 ext3)。然而,我的方法使用了日志中的信息,因此通常它只能恢复最近(例如上周)访问的文件(这会导致访问时间更新,从而导致索引节点表的副本更新到日志),或者其索引节点与最近访问的文件的索引节点位于同一索引节点块中。
您仍然可以在这里找到我的操作方法:http://carlowood.github.io/howto/undelete_ext3.html
与此同时,已经写了很多关于如何使用 ext3grep 的教程,甚至 YouTube 视频(使用 Google 搜索它们),并且有 ext3 和 ext4 的衍生项目,可能更容易使用(我从来没有看过)我不得不承认这一点);您可以在这里找到:http://extundelete.sourceforge.net/
在所有情况下 - 批量删除后 - 您希望尽快停止写入硬盘并最好卸载它 - 即使只是关机尽管关闭并彻底卸载硬盘有覆盖数据的风险,因为它会向磁盘写入更多内容,但我认为这是值得的,因为使用此方法干净卸载的磁盘更容易恢复。立即以只读方式重新安装磁盘,然后关闭可能是最好的选择。之后,您必须使用 Live DVD 制作磁盘映像的副本(使用 dd),或者将硬盘放在另一台 PC 上。在进行备份或恢复已删除的文件之前,请勿再次安装它。