ext3grep – atkurti ištrintus failus Debian ir Ubuntu


ext3grep yra paprasta programa, skirta atkurti failus EXT3 failų sistemoje. Tai tyrimo ir atkūrimo įrankis, naudingas atliekant kriminalistikos tyrimus. Tai padeda parodyti informaciją apie skaidinyje buvusius failus ir atkurti netyčia ištrintus failus.

Šiame straipsnyje parodysime naudingą triuką, kuris padės atkurti netyčia ištrintus failus ext3 failų sistemose naudojant ext3grep Debian ir Ubuntu.

Testavimo scenarijus

  • Įrenginio pavadinimas: /dev/sdb1
  • Tvirtinimo taškas: /mnt/TEST_DRIVE
  • Failų sistemos tipas: EXT3

Kaip atkurti ištrintus failus naudojant ext3grep įrankį

Norėdami atkurti ištrintus failus, pirmiausia turite įdiegti programą ext3grep savo Ubuntu arba Debian sistemoje naudodami APT paketų tvarkyklę, kaip parodyta.

sudo apt install ext3grep

Įdiegę parodysime, kaip atkurti ištrintus failus ext3 failų sistemoje.

Pirmiausia sukursime kai kuriuos failus testavimo tikslais ext3 skaidinio/įrenginio prijungimo taške /mnt/TEST_DRIVE, t. y. šiuo atveju /dev/sdb1.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Dabar pašalinsime vieną failą pavadinimu file5 iš ext3 skaidinio prijungimo taško /mnt/TEST_DRIVE.

sudo rm file5

Dabar pamatysime, kaip atkurti ištrintą failą naudojant ext3grep programą tiksliniame skaidinyje. Pirmiausia turime jį atjungti iš aukščiau esančio prijungimo taško (atminkite, kad turite naudoti komandą cd, kad perjungtumėte į kitą katalogą, kad atjungimo operacija veiktų, kitaip komanda umount parodys klaidą „tas tikslas užimtas“).

cd
$sudo umount /mnt/TEST_DRIVE

Dabar, kai ištrynėme vieną iš failų (manysime, kad tai buvo padaryta netyčia), norėdami peržiūrėti visus įrenginyje buvusius failus, paleiskite parinktį --dump-name (pakeiskite /dev/sdb1 su tikruoju įrenginio pavadinimu).

ext3grep --dump-name /dev/sdb1

Norėdami atkurti anksčiau nurodytą ištrintą failą, pvz., file5, naudojame parinktį --restore-all, kaip parodyta.

ext3grep --restore-all /dev/sdb1

Kai atkūrimo procesas bus baigtas, visi atkurti failai bus įrašyti į katalogą RESTORED_FILES. Galite patikrinti, ar ištrintas failas atkurtas, ar ne.

cd RESTORED_FILES
ls 

Galime nurodyti konkretų failą, kurį reikia atkurti, pavyzdžiui, failą file5 (arba nurodyti visą failo kelią ext3 įrenginyje).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

Be to, galime atkurti failus per tam tikrą laikotarpį. Pavyzdžiui, tiesiog nurodykite teisingą datą ir laiką, kaip parodyta.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Daugiau informacijos rasite ext3grep vadovo puslapyje.

man ext3grep

Viskas! ext3grep yra paprastas ir naudingas įrankis, skirtas ištirti ir atkurti ištrintus failus ext3 failų sistemoje. Tai viena geriausių programų, leidžiančių atkurti failus „Linux“. Jei turite klausimų ar norite pasidalinti mintimis, susisiekite su mumis naudodami toliau pateiktą atsiliepimų formą.