Поиск по сайту:

ext3grep — восстановление удаленных файлов в Debian и Ubuntu

ext3grep — простая программа для восстановления файлов в файловой системе EXT3. Это инструмент расследования и восстановления, который полезен при криминалистических расследованиях. Это помогает показать информацию о файлах, существовавших на разделе, а также восстановить случайно удаленные файлы.

В этой статье мы продемонстрируем полезный трюк, который поможет вам восстановить случайно удаленные файлы в файловых системах ext3 с помощью ext3grep в Debian и Ubuntu.

Сценарий тестирования

  • Имя устройства: /dev/sdb1
  • Точка монтирования: /mnt/TEST_DRIVE
  • Тип файловой системы: EXT3.

Как восстановить удаленные файлы с помощью инструмента ext3grep

Чтобы восстановить удаленные файлы, сначала вам необходимо установить программу ext3grep в вашей системе Ubuntu или Debian с помощью менеджера пакетов APT, как показано.

sudo apt install ext3grep

После установки мы покажем, как восстановить удаленные файлы в файловой системе ext3.

Сначала мы создадим несколько файлов для целей тестирования в точке монтирования /mnt/TEST_DRIVE раздела/устройства ext3, т. е. в данном случае /dev/sdb1.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Теперь мы удалим один файл с именем file5 из точки монтирования /mnt/TEST_DRIVE раздела ext3.

sudo rm file5

Теперь мы увидим, как восстановить удаленный файл с помощью программы ext3grep в целевом разделе. Во-первых, нам нужно размонтировать его из точки монтирования, указанной выше (обратите внимание, что вам нужно использовать команду cd, чтобы переключиться в другой каталог, чтобы операция размонтирования работала, в противном случае команда umount покажет ошибку «эта цель занята“).

cd
$sudo umount /mnt/TEST_DRIVE

Теперь, когда мы удалили один из файлов (мы предполагаем, что это было сделано случайно), чтобы просмотреть все файлы, существовавшие на устройстве, запустите опцию --dump-name (замените /dev/sdb1 с фактическим именем устройства).

ext3grep --dump-name /dev/sdb1

Чтобы восстановить удаленный выше файл, то есть file5, мы используем параметр --restore-all, как показано.

ext3grep --restore-all /dev/sdb1

После завершения процесса восстановления все восстановленные файлы будут записаны в каталог RESTORED_FILES, вы сможете проверить, восстановлен ли удаленный файл или нет.

cd RESTORED_FILES
ls

Мы можем указать конкретный файл для восстановления, например файл с именем file5 (или указать полный путь к файлу на устройстве ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Кроме того, мы также можем восстановить файлы в течение определенного периода времени. Например, просто укажите правильную дату и период времени, как показано.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Для получения дополнительной информации см. справочную страницу ext3grep.

man ext3grep

Вот и все! ext3grep — простой и полезный инструмент для исследования и восстановления удаленных файлов в файловой системе ext3. Это одна из лучших программ для восстановления файлов в Linux. Если у вас есть какие-либо вопросы или мысли, которыми вы хотите поделиться, свяжитесь с нами через форму обратной связи ниже.