linux上ext2文件系统中，用debugfs来恢复被删除的文件

　　如果你不小心用rm -rf xxx删除了文件或者整个目录，在ext2文件系统上是可以恢复的。因为文件数据没有被实际删除，只是索引被删除了，文件被误删除之后，应该马上停止创建、修改等文件操作，因为他们有可能会覆盖以前被删除文件所占用的磁盘空间，这样就没办法恢复了。

　　如果只有一个文件，那么运行：

　　debugfs /dev/sda2; // /dev/sda2是你要查看的设备
　　> lsdel //查看被删除文件的inode，一般是最后一个，当然你可以根据lsdel不同的属性来判断。
　　> dump <inode> dst_file_path //inode表示具体的inode值，dst_file_path一定要一个具体的文件名
   
　　如果你删除了大量的文件，那么操作就很麻烦，如果进入debugfs交互模式，一次只能恢复一个文件，如果被删除了1w个，那基本没法一个一个的操作。debugfs有一个-f参数可以解决这个问题，-f表示可以传入一个命令文件让debugfs来执行。

　　先建立一个文件export：
　　echo "lsdel" > export;

　　然后执行 debugfs -f export /dev/sda2，这时候会输出所有被删除的文件信息，分别为
　　Inode Owner Mode    Size    Blocks   Time deleted

　　而所有这些不一定是你想要恢复的文件，你可以根据你自己的需要用grep过滤一下，例如我要恢复uid=1用户今天(10号) 12点删除的size不为0的文件，具体操作命令如下：

　　debugfs -f export /dev/sda2 | grep ' 1 ' | grep ' 10 12:' | grep -v ' 0 ' | awk '{print "dump <"$1"> "$1".del"}' > cmd

　　这样得到了很多dump <inode> dst_file_path命令存入cmd文件，然后再调用debugfs -f cmd /dev/sda2就可以恢复想要的文件了。

　　如果系统中有多个磁盘，那么恢复文件的时候最好从一个磁盘恢复到另外一个。不然dump的时候，有可能把还没开始dump的inode就覆盖了。