lsof: récupérer un fichier supprimé encore ouvert

Retrouver un fichier effacé mais tenu par un process et le restaurer depuis /proc.

16 août 2025

objectif

Récupérer un log ou binaire supprimé par erreur tant que le process le garde ouvert.

sudo lsof | grep '(deleted)' | head -5

# copier le contenu vers un nouveau fichier (ex: fd 4 du PID 1234)
sudo cp /proc/1234/fd/4 /var/log/restored.log

# arrêter proprement le process après récupération
sudo kill -TERM 1234