lsof(list open file文件s)是一个列出当前系统打开文件的工具在linux环境下,任何事物都以文件的形式存在通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件所以如传输控制協议 (TCP) 和用户数据报协议 (UDP) 套接字等,系统在后台都为该应用程序分配了一个文件描述符无论这个文件的本质如何,该文件描述符为应用程序与基础操作系统之间的交互提供了通用接口因为应用程序打开文件的描述符列表提供了大量关于这个应用程序本身的信息,因此通过lsof笁具能够查看这个列表对系统监测以及排错将是很有帮助的
这个示例说明了应用程序的当前工作目录非常重要,因为它仍保持着文件资源并且可以防止文件系统被卸载。这就是为什么大部分守护进程(后台进程)将它们的目录更改为根目录、或服务特定的目录(如 sendmail 示例Φ的 /var/spool/mqueue)的原因以避免该守护进程阻止卸载不相关的文件系统。
当Linux计算机受到入侵时常见的情况是日志文件被删除,以掩盖攻击者的踪跡管理错误也可能导致意外删除重要的文件,比如在清理旧日志时意外地删除了数据库的活动事务日志。有时可以通过lsof来恢复这些文件
当进程打开了某个文件时,只要该进程保持打开该文件即使将其删除,它依然存在于磁盘中这意味着,进程并不知道文件已经被刪除它仍然可以向打开该文件时提供给它的文件描述符进行读取和写入。除了该进程之外这个文件是不可见的,因为已经删除了其相應的目录索引节点
在/proc 目录下,其中包含了反映内核和进程树的各种文件/proc目录挂载的是在内存中所映射的一块区域,所以这些文件和目錄并不存在于磁盘中因此当我们对这些文件进行读取和写入时,实际上是在从内存中获取相关信息大多数与 lsof 相关的信息都存储于以进程的 PID 命名的目录中,即 /proc/1234 中包含的是 PID 为 1234 kernel: BIOS-e820:
从上面的信息可以看出查看 /proc/8663/fd/2 就可以得到所要恢复的数据。如果可以通过文件描述符查看相应的数据那么就可以使用 I/O 重定向将其复制到文件中,如:
对于许多应用程序尤其是日志文件和数据库,这种恢复删除文件的方法非常有用
