ext3grep - восстановление удаленных файлов в Debian и Ubuntu

Оригинал: ext3grep – Recover Deleted Files on Debian and Ubuntu
Автор: Aaron Kili
Дата публикации: 11 января 2019 года
Перевод: А. Кривошей
Дата перевода: ноябрь 2019 г.

ext3grep - это простая программа для восстановления файлов в файловой системе EXT3. Это утилита для расследования и восстановления данных, которая также полезна в криминалистических расследованиях. Она помогает показать информацию о файлах, которые существовали ранее на разделе, а также восстановить случайно удаленные файлы.

В этой статье мы продемонстрируем полезный прием, который поможет вам восстановить случайно удаленные файлы в файловых системах ext3 с использованием ext3grep в Debian и Ubuntu.

Сценарий тестирования:

Имя устройства: /dev/sdb1
Точка монтирования: /mnt/TEST_DRIVE
Тип файловой системы: EXT3

Восстановление удаленных файлов с помощью утилиты ext3grep

Чтобы восстановить удаленные файлы, сначала вам нужно установить программу ext3grep в вашей системе Ubuntu или Debian, используя менеджер пакетов APT, как показано на ниже.

$ sudo apt install ext3grep

После установки мы покажем, как восстановить удаленные файлы в файловой системе ext3.

Во-первых, мы создадим для тестирования некоторые файлы в точке монтирования /mnt/TEST_DRIVE устройства с файловой системой ext3, т.е. в данном случае /dev/sdb1.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Теперь мы удалим один файл с именем file5 из точки монтирования /mnt/TEST_DRIVE раздела с ext3.

$ sudo rm file5

Теперь мы увидим, как восстановить удаленный файл на целевом разделе с помощью программы ext3grep. Во-первых, нам нужно размонтировать его (обратите внимание, что вы должны использовать команду cd для переключения на другой каталог, чтобы сработала операция размонтирования, в противном случае команда umount покажет ошибку «that target is busy»).

$ cd
$sudo umount /mnt/TEST_DRIVE

Теперь, когда мы удалили один из файлов (предположим, что это было сделано случайно), чтобы просмотреть все файлы, которые существовали на устройстве, запустите команду с параметром --dump-name (замените /dev/sdb1 на имя своего устройства ).

$ ext3grep --dump-name /dev/sdb1

Чтобы восстановить вышеупомянутый удаленный файл, то есть file5, мы используем параметр --restore-all, как показано ниже.

$ ext3grep --restore-all /dev/sdb1

После завершения процесса восстановления все восстановленные файлы будут записаны в каталог RESTORED_FILES, вы можете проверить, был ли удаленный файл восстановлен или нет.

$ cd RESTORED_FILES
$ ls

Мы можем указать конкретный файл для восстановления, например файл с именем file5 (или указать полный путь к файлу на устройстве ext3).

$ ext3grep --restore-file file5 /dev/sdb1 

или

$ ext3grep --restore-file /path/to/some/file /dev/sdb1 

Кроме того, мы также можем восстановить файлы, существовавшие в течение определенного периода времени. Например, просто укажите правильную дату и время, как показано ниже.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Для получения дополнительной информации см. справочную страницу ext3grep.

$ man ext3grep

---

Другие статьи о восстановлении данных в Linux:

• GNU ddrescue - лучшая утилита для восстановления данных с поврежденного жесткого диска
• SSHFS: простая система для работы с удаленными директориями
• Утилиты для восстановления потерянных данных в Linux
• Восстановите данные с помощью инструментальных средств Linux
• Утилиты для восстановления потерянных данных в Linux

---

---