ext3grep - Recuperați fișierele șterse pe Debian și Ubuntu

ext3grep este un program simplu pentru recuperarea fișierelor pe un sistem de fișiere EXT3. Este un instrument de investigare și recuperare care este util în investigațiile criminalistice. Ajută la afișarea informațiilor despre fișierele care au existat pe o partiție și, de asemenea, la recuperarea fișierelor șterse accidental.

În acest articol, vom demonstra un truc util, care vă va ajuta să recuperați fișierele șterse accidental pe sistemele de fișiere ext3 folosind ext3grep în Debian și Ubuntu.

Scenariul de testare

  • Numele dispozitivului: /dev/sdb1
  • Punctul de montare: /mnt/TEST_DRIVE
  • Tipul sistemului de fișiere: EXT3

Cum să recuperați fișierele șterse folosind instrumentul ext3grep

Către managerul de pachete APT, așa cum se arată.

$ sudo apt install ext3grep

Odată instalat, acum vom demonstra cum să recuperați fișierele șterse pe un sistem de fișiere ext3.

Mai întâi, vom crea câteva fișiere pentru testare în punctul de montare /mnt/TEST_DRIVE al partiției/dispozitivului ext3, adică /dev/sdb1 în acest caz.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Acum vom elimina un fișier numit fișier5 din punctul de montare /mnt/TEST_DRIVE al partiției ext3.

$ sudo rm file5

Acum vom vedea cum să recuperați fișierul șters folosind programul ext3grep de pe partiția vizată. Mai întâi, trebuie să-l demontăm din punctul de montare de mai sus (rețineți că trebuie să utilizați comanda cd pentru a comuta la alt director pentru ca operația de demontare să funcționeze, altfel comanda umount va afișa eroarea „ținta respectivă este ocupată“).

$ cd
$sudo umount /mnt/TEST_DRIVE

Acum că am șters unul dintre fișiere (care vom presupune că a fost făcut accidental), pentru a vedea toate fișierele care existau în dispozitiv, rulați opțiunea --dump-name (înlocuiți cu numele dispozitivului actual).

$ ext3grep --dump-name /dev/sdb1

Pentru a recupera fișierul șters de mai sus, adică file5, folosim opțiunea --restore-all după cum se arată.

$ ext3grep --restore-all /dev/sdb1

Odată ce procesul de recuperare este finalizat, toate fișierele recuperate vor fi scrise în directorul RESTORED_FILES, puteți verifica dacă fișierul șters este recuperat sau nu.

$ cd RESTORED_FILES
$ ls

Putem specifica un anumit fișier de recuperat, de exemplu fișierul numit file5 (sau să specificăm calea completă a fișierului în dispozitivul ext3).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1

În plus, putem restaura și fișierele într-o anumită perioadă de timp. De exemplu, specificați pur și simplu data și intervalul de timp corect, așa cum se arată.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Pentru mai multe informații, consultați pagina de manual ext3grep.

$ man ext3grep

Asta este! ext3grep este un instrument simplu și util pentru a investiga și a recupera fișierele șterse pe un sistem de fișiere ext3. Este unul dintre cele mai bune programe pentru a recupera fișiere pe Linux. Dacă aveți întrebări sau gânduri de împărtășit, contactați-ne prin formularul de feedback de mai jos.