如果文件被删除,但至少有一个fd,则/proc/$pid/fd/$fd可以访问它。可以将所有信息都当作一个普通文件来获取。甚至一些GUI应用程序也可以从那里打开文件。
但是,如果删除的文件只在内存映射(/proc/$pid/maps(中提及,我该怎么办?可以获取设备、索引节点和映射部分的内容。但是有没有一种方法可以获得完整的文件大小、mtime、ctime和非映射部分的内容?
映射文件可通过/proc/$pid/map_files/访问。读取内容需要根权限。