ext3grep — восстанавливает удаленные файлы в Debian и Ubuntu | Форензика в Linux — Information Security Squad

ext3grep — восстанавливает удаленные файлы в Debian и Ubuntu | Форензика в Linux

ext3grep — это простая программа для восстановления файлов в файловой системе EXT3.

Это инструмент для расследования и восстановления, который полезен в криминалистических расследованиях, т.е. форензики.

Он помогает показать информацию о файлах, которые существовали на разделе, а также восстановить случайно удаленные файлы.

В этой статье мы продемонстрируем полезный трюк, который поможет вам восстановить случайно удаленные файлы в файловых системах ext3, используя ext3grep в Debian и Ubuntu.

Сценарий тестирования

Имя устройства: /dev/sdb1
Точка монтирования: /mnt/TEST_DRIVE
Тип файловой системы: EXT3

Как восстановить удаленные файлы с помощью ext3grep Tool

Чтобы восстановить удаленные файлы, сначала вам нужно установить программу ext3grep в вашу систему Ubuntu или Debian, используя менеджер пакетов APT, как показано на рисунке.

$ sudo apt install ext3grep

Во-первых, мы создадим несколько файлов для тестирования в точке монтирования /mnt /TEST_DRIVE раздела /устройства ext3, т.е. в данном случае /dev/sdb1.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Теперь мы удалим один файл с именем file5 из точки монтирования /mnt/TEST_DRIVE раздела ext3.

$ sudo rm file5

Теперь мы посмотрим, как восстановить удаленный файл с помощью программы ext3grep на целевом разделе.

Во-первых, нам нужно размонтировать его с точки монтирования (обратите внимание, что вы должны использовать команду cd для переключения на другой каталог, чтобы сработала операция размонтирования, в противном случае команда umount покажет ошибку «that target is busy»).

$ cd
$ sudo umount /mnt/TEST_DRIVE

Теперь, когда мы удалили один из файлов (который мы предположим, что случайно), чтобы просмотреть все файлы, которые существовали на устройстве, запустите параметр —dump-name (замените /dev/sdb1 на фактическое имя устройства ).

$ ext3grep --dump-name /dev/sdb1

Чтобы восстановить вышеупомянутый удаленный файл, т.е. file5, мы используем параметр —restore-all, как показано далее.

$ ext3grep --restore-all /dev/sdb1

После завершения процесса восстановления все восстановленные файлы будут записаны в каталог RESTORED_FILES, вы можете проверить, был ли удаленный файл восстановлен или нет.

$ cd RESTORED_FILES
$ ls

Мы можем указать конкретный файл для восстановления, например, файл с именем file5 (или указать полный путь к файлу на устройстве ext3).

$ ext3grep --restore-file file5 /dev/sdb1 
или
$ ext3grep --restore-file /path/to/some/file /dev/sdb1

Кроме того, мы также можем восстановить файлы в течение определенного периода времени.

Например, просто укажите правильную дату и время, как показано ниже.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Для получения дополнительной информации см. Справочную страницу ext3grep.

$ man ext3grep

ext3grep — это простой и полезный инструмент для исследования и восстановления удаленных файлов в файловой системе ext3.

Это одна из лучших программ для восстановления файлов в Linux.

Если у вас есть какие-либо вопросы или какие-либо мысли, чтобы поделиться, свяжитесь с нами через форму обратной связи ниже.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40