ext3grep - Palauta poistetut tiedostot Debianissa ja Ubuntussa

ext3grep on yksinkertainen ohjelma tiedostojen palauttamiseen EXT3-tiedostojärjestelmässä. Se on tutkinta- ja palautustyökalu, joka on hyödyllinen rikosteknisissä tutkimuksissa. Se auttaa näyttämään tietoja osiolla olevista tiedostoista ja palauttamaan myös vahingossa poistetut tiedostot.

Tässä artikkelissa esittelemme hyödyllisen tempun, joka auttaa sinua palauttamaan vahingossa poistetut tiedostot ext3-tiedostojärjestelmistä käyttämällä ext3grep-ohjelmaa Debianissa ja Ubuntussa.

Testausskenaario

  • Laitteen nimi: /dev/sdb1
  • Kiinnityskohta: /mnt/TEST_DRIVE
  • Tiedostojärjestelmän tyyppi: EXT3

Kuinka palauttaa poistetut tiedostot ext3grep-työkalulla

Jos haluat palauttaa poistetut tiedostot, sinun on ensin asennettava ext3grep-ohjelma Ubuntu- tai Debian-järjestelmääsi käyttämällä APT-pakettienhallintaa kuvan mukaisesti.

sudo apt install ext3grep

Asennuksen jälkeen näytämme nyt kuinka palauttaa poistetut tiedostot ext3-tiedostojärjestelmässä.

Ensin luodaan joitain tiedostoja testausta varten ext3-osion/laitteen liitoskohtaan /mnt/TEST_DRIVE, eli tässä tapauksessa /dev/sdb1.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Nyt poistamme yhden tiedoston nimeltä file5 ext3-osion liitoskohdasta /mnt/TEST_DRIVE.

sudo rm file5

Nyt näemme, kuinka poistettu tiedosto palautetaan ext3grep-ohjelman avulla kohdistetussa osiossa. Ensin meidän on irrotettava se yllä olevasta liitoskohdasta (huomaa, että sinun on käytettävä cd-komentoa vaihtaaksesi toiseen hakemistoon, jotta irrotustoiminto toimisi, muuten umount-komento näyttää virheilmoituksen "kohde on kiireinen").

cd
$sudo umount /mnt/TEST_DRIVE

Nyt kun olemme poistaneet yhden tiedostoista (jonka oletetaan tapahtuneen vahingossa), nähdäksesi kaikki laitteessa olleet tiedostot suorittamalla --dump-name-vaihtoehto (korvaa /dev/sdb1 laitteen todellisella nimellä).

ext3grep --dump-name /dev/sdb1

Palauttaaksesi yllä olevan poistetun tiedoston, eli file5, käytämme --restore-all-vaihtoehtoa kuvan mukaisesti.

ext3grep --restore-all /dev/sdb1

Kun palautusprosessi on valmis, kaikki palautetut tiedostot kirjoitetaan hakemistoon RESTORED_FILES. Voit tarkistaa, onko poistettu tiedosto palautettu.

cd RESTORED_FILES
ls

Voimme määrittää tietyn palautettavan tiedoston, esimerkiksi tiedoston nimeltä file5 (tai määrittää tiedoston koko polun ext3-laitteessa).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Lisäksi voimme myös palauttaa tiedostoja tietyn ajan sisällä. Esimerkiksi yksinkertaisesti määritä oikea päivämäärä ja aikakehys kuvan mukaisesti.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Lisätietoja on ext3grep-manuaalisivulla.

man ext3grep

Se siitä! ext3grep on yksinkertainen ja hyödyllinen työkalu ext3-tiedostojärjestelmän poistettujen tiedostojen tutkimiseen ja palauttamiseen. Se on yksi parhaista ohjelmista tiedostojen palauttamiseen Linuxissa. Jos sinulla on kysyttävää tai haluat jakaa ajatuksia, ota meihin yhteyttä alla olevan palautelomakkeen kautta.