ext3grep - Oporavak izbrisanih datoteka na Debian i Ubuntu

ext3grep je jednostavan program za oporavak datoteka na EXT3 sistemu datoteka. To je alat za istragu i oporavak koji je koristan u forenzičkim istragama. Pomaže da se prikažu informacije o datotekama koje su postojale na particiji i da se oporave slučajno izbrisane datoteke.

U ovom članku ćemo demonstrirati koristan trik koji će vam pomoći da oporavite slučajno izbrisane datoteke na ext3 datotečnim sustavima koristeći ext3grep u Debianu i Ubuntuu.

Testing Scenario

  • Naziv uređaja: /dev/sdb1
  • Tačka montiranja: /mnt/TEST_DRIVE
  • Tip sistema datoteka: EXT3

Kako oporaviti izbrisane datoteke koristeći ext3grep alat

Da biste oporavili izbrisane datoteke, prvo morate instalirati program ext3grep na vaš Ubuntu ili Debian sistem koristeći APT upravitelj paketa kao što je prikazano.

sudo apt install ext3grep

Jednom instaliran, sada ćemo pokazati kako oporaviti izbrisane datoteke na ext3 sistemu datoteka.

Prvo ćemo kreirati neke datoteke u svrhu testiranja u tački montiranja /mnt/TEST_DRIVE ext3 particije/uređaja, tj. /dev/sdb1 u ovom slučaju.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Sada ćemo ukloniti jedan fajl pod nazivom file5 sa tačke montiranja /mnt/TEST_DRIVE ext3 particije.

sudo rm file5

Sada ćemo vidjeti kako vratiti izbrisanu datoteku pomoću programa ext3grep na ciljanoj particiji. Prvo, moramo ga demontirati sa gornje tačke montiranja (imajte na umu da morate koristiti naredbu cd da biste se prebacili na drugi direktorij da bi operacija demontaže funkcionirala, inače će naredba umount pokazati grešku “ta meta je zauzeta“).

cd
$sudo umount /mnt/TEST_DRIVE

Sada kada smo izbrisali jedan od fajlova (što ćemo pretpostaviti da je učinjeno slučajno), da vidite sve fajlove koji su postojali na uređaju, pokrenite opciju --dump-name (zamenite /dev/sdb1 sa stvarnim imenom uređaja).

ext3grep --dump-name /dev/sdb1

Za vraćanje gornje izbrisane datoteke, tj. file5, koristimo opciju --restore-all kao što je prikazano.

ext3grep --restore-all /dev/sdb1

Kada se proces oporavka završi, sve oporavljene datoteke će biti upisane u direktorij RESTORED_FILES, možete provjeriti da li je izbrisana datoteka vraćena ili ne.

cd RESTORED_FILES
ls

Možemo odrediti određenu datoteku za oporavak, na primjer datoteku pod nazivom file5 (ili odrediti punu putanju datoteke unutar ext3 uređaja).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Osim toga, također možemo vratiti datoteke u određenom vremenskom periodu. Na primjer, jednostavno navedite tačan datum i vremenski okvir kao što je prikazano.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Za više informacija pogledajte man stranicu ext3grep.

man ext3grep

To je to! ext3grep je jednostavan i koristan alat za istraživanje i oporavak izbrisanih datoteka na ext3 sistemu datoteka. To je jedan od najboljih programa za oporavak datoteka na Linuxu. Ako imate bilo kakvih pitanja ili bilo kakva razmišljanja za podijeliti, kontaktirajte nas putem obrasca za povratne informacije u nastavku.