Vyhledávání na webu

ext3grep – Obnovení smazaných souborů na Debianu a Ubuntu

ext3grep je jednoduchý program pro obnovu souborů na souborovém systému EXT3. Je to vyšetřovací a obnovovací nástroj, který je užitečný při forenzních vyšetřováních. Pomáhá zobrazit informace o souborech, které existovaly na oddílu, a také obnovit omylem smazané soubory.

V tomto článku si ukážeme užitečný trik, který vám pomůže obnovit omylem smazané soubory na souborových systémech ext3 pomocí ext3grep v Debianu a Ubuntu.

Testovací scénář

  • Název zařízení: /dev/sdb1
  • Přípojný bod: /mnt/TEST_DRIVE
  • Typ souborového systému: EXT3

Jak obnovit smazané soubory pomocí nástroje ext3grep

Chcete-li obnovit smazané soubory, musíte nejprve nainstalovat program ext3grep na váš systém Ubuntu nebo Debian pomocí správce balíčků APT, jak je znázorněno.

sudo apt install ext3grep

Po instalaci si nyní ukážeme, jak obnovit smazané soubory na souborovém systému ext3.

Nejprve vytvoříme nějaké soubory pro testovací účely v bodě připojení /mnt/TEST_DRIVE oddílu/zařízení ext3, tj. v tomto případě /dev/sdb1.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Nyní odstraníme jeden soubor s názvem file5 z bodu připojení /mnt/TEST_DRIVE oddílu ext3.

sudo rm file5

Nyní uvidíme, jak obnovit smazaný soubor pomocí programu ext3grep na cílovém oddílu. Nejprve jej musíme odpojit z výše uvedeného bodu připojení (všimněte si, že pro přepnutí do jiného adresáře musíte použít příkaz cd, aby operace odpojení fungovala, jinak příkaz umount zobrazí chybu „tento cíl je zaneprázdněn“).

cd
$sudo umount /mnt/TEST_DRIVE

Nyní, když jsme smazali jeden ze souborů (což budeme předpokládat, bylo provedeno omylem), pro zobrazení všech souborů, které v zařízení existovaly, spusťte volbu --dump-name (nahraďte /dev/sdb1 se skutečným názvem zařízení).

ext3grep --dump-name /dev/sdb1

K obnovení výše smazaného souboru, tj. file5, použijeme možnost --restore-all, jak je znázorněno.

ext3grep --restore-all /dev/sdb1

Po dokončení procesu obnovy budou všechny obnovené soubory zapsány do adresáře RESTORED_FILES. Můžete zkontrolovat, zda je smazaný soubor obnoven nebo ne.

cd RESTORED_FILES
ls

Můžeme zadat konkrétní soubor k obnovení, například soubor nazvaný file5 (nebo zadat úplnou cestu k souboru v zařízení ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Kromě toho můžeme také obnovit soubory v daném časovém období. Stačí například zadat správné datum a časový rámec podle obrázku.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Další informace najdete na manuálové stránce ext3grep.

man ext3grep

A je to! ext3grep je jednoduchý a užitečný nástroj pro zkoumání a obnovu smazaných souborů na souborovém systému ext3. Je to jeden z nejlepších programů pro obnovu souborů v Linuxu. Máte-li jakékoli dotazy nebo nápady, o které se chcete podělit, kontaktujte nás prostřednictvím formuláře zpětné vazby níže.