ext3grep – это простая программа для восстановления файлов в файловой системе EXT3.
Это инструмент для расследования и восстановления, который полезен в криминалистических расследованиях, т.е. форензики.
Он помогает показать информацию о файлах, которые существовали на разделе, а также восстановить случайно удаленные файлы.
В этой статье мы продемонстрируем полезный трюк, который поможет вам восстановить случайно удаленные файлы в файловых системах ext3, используя ext3grep в Debian и Ubuntu.
Сценарий тестирования
Имя устройства: /dev/sdb1
Точка монтирования: /mnt/TEST_DRIVE
Тип файловой системы: EXT3
Как восстановить удаленные файлы с помощью ext3grep Tool
Чтобы восстановить удаленные файлы, сначала вам нужно установить программу ext3grep в вашу систему Ubuntu или Debian, используя менеджер пакетов APT, как показано на рисунке.
$ sudo apt install ext3grep
Во-первых, мы создадим несколько файлов для тестирования в точке монтирования /mnt /TEST_DRIVE раздела /устройства ext3, т.е. в данном случае /dev/sdb1.
$ cd /mnt/TEST_DRIVE $ sudo touch files[1-5] $ ls -l
Теперь мы удалим один файл с именем file5 из точки монтирования /mnt/TEST_DRIVE раздела ext3.
$ sudo rm file5
Теперь мы посмотрим, как восстановить удаленный файл с помощью программы ext3grep на целевом разделе.
Во-первых, нам нужно размонтировать его с точки монтирования (обратите внимание, что вы должны использовать команду cd для переключения на другой каталог, чтобы сработала операция размонтирования, в противном случае команда umount покажет ошибку «that target is busy»).
$ cd $ sudo umount /mnt/TEST_DRIVE
Теперь, когда мы удалили один из файлов (который мы предположим, что случайно), чтобы просмотреть все файлы, которые существовали на устройстве, запустите параметр –dump-name (замените /dev/sdb1 на фактическое имя устройства ).
$ ext3grep --dump-name /dev/sdb1
Чтобы восстановить вышеупомянутый удаленный файл, т.е. file5, мы используем параметр –restore-all, как показано далее.
$ ext3grep --restore-all /dev/sdb1
После завершения процесса восстановления все восстановленные файлы будут записаны в каталог RESTORED_FILES, вы можете проверить, был ли удаленный файл восстановлен или нет.
$ cd RESTORED_FILES $ ls
Мы можем указать конкретный файл для восстановления, например, файл с именем file5 (или указать полный путь к файлу на устройстве ext3).
$ ext3grep --restore-file file5 /dev/sdb1 или $ ext3grep --restore-file /path/to/some/file /dev/sdb1
Кроме того, мы также можем восстановить файлы в течение определенного периода времени.
Например, просто укажите правильную дату и время, как показано ниже.
$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1
Для получения дополнительной информации см. Справочную страницу ext3grep.
$ man ext3grep
ext3grep – это простой и полезный инструмент для исследования и восстановления удаленных файлов в файловой системе ext3.
Это одна из лучших программ для восстановления файлов в Linux.
Если у вас есть какие-либо вопросы или какие-либо мысли, чтобы поделиться, свяжитесь с нами через форму обратной связи ниже.