Wyszukiwanie w witrynie

ext3grep - Odzyskaj usunięte pliki w Debianie i Ubuntu


ext3grep to prosty program do odzyskiwania plików z systemu plików EXT3. Jest to narzędzie do prowadzenia dochodzeń i odzyskiwania danych, przydatne w dochodzeniach kryminalistycznych. Pomaga wyświetlić informacje o plikach, które znajdowały się na partycji, a także odzyskać przypadkowo usunięte pliki.

W tym artykule zademonstrujemy przydatny trik, który pomoże Ci odzyskać przypadkowo usunięte pliki na systemach plików ext3 przy użyciu ext3grep w Debianie i Ubuntu.

Scenariusz testowy

  • Nazwa urządzenia: /dev/sdb1
  • Punkt podłączenia: /mnt/TEST_DRIVE
  • Typ systemu plików: EXT3

Jak odzyskać usunięte pliki za pomocą narzędzia ext3grep

Aby odzyskać usunięte pliki, musisz najpierw zainstalować program ext3grep na swoim systemie Ubuntu lub Debian za pomocą menedżera pakietów APT, jak pokazano.

sudo apt install ext3grep

Po zainstalowaniu pokażemy teraz, jak odzyskać usunięte pliki w systemie plików ext3.

Najpierw utworzymy kilka plików do celów testowych w punkcie podłączenia /mnt/TEST_DRIVE partycji/urządzenia ext3, tj. w tym przypadku /dev/sdb1.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Teraz usuniemy jeden plik o nazwie file5 z punktu podłączenia /mnt/TEST_DRIVE partycji ext3.

sudo rm file5

Teraz zobaczymy jak odzyskać usunięty plik za pomocą programu ext3grep na docelowej partycji. Najpierw musimy odmontować go z powyższego punktu montowania (pamiętaj, że musisz użyć polecenia cd, aby przełączyć się do innego katalogu, aby operacja odmontowania zadziałała, w przeciwnym razie polecenie umount wyświetli błąd „ten cel jest zajęty”).

cd
$sudo umount /mnt/TEST_DRIVE

Teraz, gdy usunęliśmy jeden z plików (zakładamy, że zostało to zrobione przypadkowo), aby wyświetlić wszystkie pliki, które istniały na urządzeniu, uruchom opcję --dump-name (zamień /dev/sdb1 rzeczywistą nazwą urządzenia).

ext3grep --dump-name /dev/sdb1

Aby odzyskać powyższy usunięty plik, tj. file5, używamy opcji --restore-all, jak pokazano.

ext3grep --restore-all /dev/sdb1

Po zakończeniu procesu odzyskiwania wszystkie odzyskane pliki zostaną zapisane w katalogu RESTORED_FILES. Możesz sprawdzić, czy usunięty plik został odzyskany, czy nie.

cd RESTORED_FILES
ls 

Możemy określić konkretny plik do odzyskania, na przykład plik o nazwie file5 (lub podać pełną ścieżkę pliku w urządzeniu ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

Dodatkowo możemy także przywrócić pliki w zadanym okresie czasu. Na przykład po prostu określ poprawną datę i ramy czasowe, jak pokazano.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Aby uzyskać więcej informacji, zobacz stronę podręcznika ext3grep.

man ext3grep

Otóż to! ext3grep to proste i przydatne narzędzie do sprawdzania i odzyskiwania usuniętych plików w systemie plików ext3. Jest to jeden z najlepszych programów do odzyskiwania plików w systemie Linux. Jeśli masz jakieś pytania lub przemyślenia, którymi chcesz się podzielić, skontaktuj się z nami za pomocą poniższego formularza opinii.