分类目录数据恢复

最近遇到的有系统被全盘（ext4）删除的案例，拿到了被删除的系统镜像，该文件系统受损程度是很大的，正好把Linux大部分的数据恢复工具都测评一遍，看看极端场景下的各类数据恢复工具的表现情况。

上一篇文章中对PDF文件结构进行分析，那么实战中遇到PDF损坏的情况该如何进行手工或工具修复？

PDF（Portable Document Format）文件是一种用于文档传输和显示的文件格式，也是结构性的文件。通过本文的分析，可以清楚PDF的文件结构和对象寻址原理，对于PDF的文件修复思路也能有自己的见解。

某客户系统文件被勒索后，通过分析发现文件的头部全0填充了256kb。但是文件的主体内容还在，也就意味着可以通过数据恢复的方式进行文件修复。本文通过对mdf文件进行修复，成功帮客户成功恢复几个G的数据库，最大程度上降低损失。

案例背景

ext2/ext3/ext4 文件系统调试器

debugfs

在不依赖第三方数据恢复软件的情况下，linux自带适用于常规数据恢复的程序当属debugfs。该命令功能强大，在我数据恢复系列的前几篇文章中频繁提到。但是国内对debugfs详细使用介绍较少且不全面。故专门用一篇文章来介绍debugfs使用，可以对数据恢复有更深刻的理解。

上周溯源某挖矿case，在排查过程中发现挖矿文件被人为删除。最终通过确定文件被删除的时间以缩小排查ssh登录的时间范围从而锁定了可疑ip。该case引发了我的思考，linux下如何查找最近被删除的文件？本文是数据恢复的第三篇文章，只是快速找到被删除文件，并不涉及如何恢复文件本身。

在上一篇文章《数据恢复(一)-linux下ext文件系统数据删除原理浅析》中分析了ext数据删除的原理，这篇文章中会结合实例分析数据恢复的原理。