ext3grep - Ανάκτηση διαγραμμένων αρχείων σε Debian και Ubuntu

Το ext3grep είναι ένα απλό πρόγραμμα για την ανάκτηση αρχείων σε ένα σύστημα αρχείων EXT3. Είναι ένα εργαλείο έρευνας και ανάκτησης που είναι χρήσιμο στις εγκληματολογικές έρευνες. Βοηθά στην εμφάνιση πληροφοριών σχετικά με αρχεία που υπήρχαν σε ένα διαμέρισμα και επίσης στην ανάκτηση αρχείων που έχουν διαγραφεί κατά λάθος.

Σε αυτό το άρθρο, θα δείξουμε ένα χρήσιμο κόλπο, που θα σας βοηθήσει να ανακτήσετε αρχεία που έχουν διαγραφεί κατά λάθος σε συστήματα αρχείων ext3 χρησιμοποιώντας ext3grep στο Debian και στο Ubuntu.

Σενάριο δοκιμής

  • Όνομα συσκευής: /dev/sdb1
  • Σημείο προσάρτησης: /mnt/TEST_DRIVE
  • Τύπος συστήματος αρχείων: EXT3

Πώς να ανακτήσετε τα διαγραμμένα αρχεία χρησιμοποιώντας το εργαλείο ext3grep

Στον διαχειριστή πακέτων APT όπως φαίνεται.

$ sudo apt install ext3grep

Μόλις εγκατασταθεί, τώρα θα δείξουμε πώς να ανακτήσετε τα διαγραμμένα αρχεία σε ένα σύστημα αρχείων ext3.

Αρχικά, θα δημιουργήσουμε ορισμένα αρχεία για δοκιμαστικό σκοπό στο σημείο προσάρτησης /mnt/TEST_DRIVE του διαμερίσματος ext3/συσκευής, δηλαδή /dev/sdb1 σε αυτήν την περίπτωση.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Τώρα θα αφαιρέσουμε ένα αρχείο που ονομάζεται file5 από το σημείο προσάρτησης /mnt/TEST_DRIVE του διαμερίσματος ext3.

$ sudo rm file5

Τώρα θα δούμε πώς να ανακτήσετε το διαγραμμένο αρχείο χρησιμοποιώντας το πρόγραμμα ext3grep στο στοχευμένο διαμέρισμα. Αρχικά, πρέπει να το αποπροσαρτήσουμε από το σημείο προσάρτησης παραπάνω (σημειώστε ότι πρέπει να χρησιμοποιήσετε την εντολή cd για να μεταβείτε σε άλλο κατάλογο για να λειτουργήσει η λειτουργία αποπροσάρτησης, διαφορετικά η εντολή umount θα εμφανίσει το σφάλμα αυτός ο στόχος είναι απασχολημένος“).

$ cd
$sudo umount /mnt/TEST_DRIVE

Τώρα που έχουμε διαγράψει ένα από τα αρχεία (το οποίο θα υποθέσουμε ότι έγινε κατά λάθος), για να δείτε όλα τα αρχεία που υπήρχαν στη συσκευή, εκτελέστε την επιλογή --dump-name (αντικαταστήστε το /dev/sdb1 με το πραγματικό όνομα της συσκευής).

$ ext3grep --dump-name /dev/sdb1

Για να ανακτήσουμε το παραπάνω διαγραμμένο αρχείο, δηλαδή το file5, χρησιμοποιούμε την επιλογή --restore-all όπως φαίνεται.

$ ext3grep --restore-all /dev/sdb1

Μόλις ολοκληρωθεί η διαδικασία ανάκτησης, όλα τα ανακτημένα αρχεία θα εγγραφούν στον κατάλογο RESTORED_FILES, μπορείτε να ελέγξετε εάν το διαγραμμένο αρχείο έχει ανακτηθεί ή όχι.

$ cd RESTORED_FILES
$ ls

Μπορούμε να καθορίσουμε ένα συγκεκριμένο αρχείο προς ανάκτηση, για παράδειγμα το αρχείο που ονομάζεται file5 (ή να καθορίσουμε την πλήρη διαδρομή του αρχείου στη συσκευή ext3).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1

Επιπλέον, μπορούμε επίσης να επαναφέρουμε αρχεία μέσα σε μια δεδομένη χρονική περίοδο. Για παράδειγμα, απλώς καθορίστε τη σωστή ημερομηνία και χρονικό πλαίσιο όπως φαίνεται.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Για περισσότερες πληροφορίες, ανατρέξτε στη σελίδα man ext3grep.

$ man ext3grep

Αυτό είναι! Το ext3grep είναι ένα απλό και χρήσιμο εργαλείο για τη διερεύνηση και την ανάκτηση διαγραμμένων αρχείων σε ένα σύστημα αρχείων ext3. Είναι ένα από τα καλύτερα προγράμματα για την ανάκτηση αρχείων στο Linux. Εάν έχετε ερωτήσεις ή οποιεσδήποτε σκέψεις να μοιραστείτε, επικοινωνήστε μαζί μας μέσω της παρακάτω φόρμας σχολίων.