Ako sa dostať na zoznam zmazaných súborov v Linuxe

V určitom bode , každý omylom vymaže zlé foto off pamäťovú kartu vo fotoaparáte , stráca dôležité súbory z flash disk , alebo vyprázdni koša tesne predtým , než si uvedomil , že sa niečo dôležité v ňom . Aj keď nie všetko odstránený , musí byť vrátený , môže voľne k dispozícii forenznú nástroje , Linux , ako je The Sleuth Kit vám pomôže zistiť , čo ste stratili , a možno vám pomôžu dostať tie súbory späť . Návod
Vytvoriť zoznam zmazaných súborov
1

stiahnuť a nainštalovať Sleuth Kit ( TSK ) pomocou systému pre správu balíkov Vaša Linuxová distribúcia alebo z príkazového riadku zadaním : " sudo apt - get install sleuthkit " ( alebo ekvivalentný príkaz pre vašu verziu systému Linux ) .

Sleuth Kit je k dispozícii od svojich repozitároch , môžete si ho stiahnuť z The Sleuth Kit stránku a nainštalujte ju pomocou pokynov .

2

Určte oddiel alebo zariadenie , ktoré chcete obnoviť súbory z Ak viete , že prípojný bod , bude to stačiť . V opačnom prípade spustite " mount - l " z príkazového riadku získať zoznam všetkých pripojených zariadení a ich prípojných bodov . Umiestnenie zariadenie bude vyzerať nejako takto : " . /Dev/sdb1 " Budeš potrebovať v nasledujúcich krokoch
3

Identifikujte súborový systém používaný zariadením .. Zadajte " sudo df - T " z príkazového riadku .

Akonáhle budete poznať typ súborového systému , spustite " FLS - f zoznamu " nájsť kľúčové slovo Sleuth Kit používa pre ktoré súborový systém . Pre tuku , ext , a UFS súborové systémy , použite kľúčové slovo Auto Detection mať Sleuth Kit zacvičiť špecifiká
4

generovať log zmazaných súborov spustením nasledujúcich príkazov z príkazového riadku : . " , sudo fls - f - d - r- v - p > " Napríklad obnova ext3 na /dev/sdb1 písanie . na deleted_files.txt na ploche by vyzerať takto : " . sudo FLS - f ext - d - r- v - p /dev/sdb1 > ~ /Desktop /deleted_files.txt "

tento príkaz , ste hovoril FLS nájsť zmazané súbory ( - d ) , rekurzívne zobrazí adresára ( - R ) , zobrazí úplnú cestu k súborom ( - p ) , a spustiť v režime s komentárom ( - v ) , takže môžete vidieť , čo je deje .

Majte na pamäti , že tento príkaz bude skenovať celý oddiel , takže veľké oddiely alebo zariadenie môže chvíľu trvať .
5

Prečítajte si vygenerovaný zoznam zmazaných súborov . K dispozícii sú tri dôležité stĺpce , mali by ste venovať pozornosť . Prvý ukazuje , či súbor je obyčajný súbor ( r) alebo adresár ( d ) . Druhým je Inode , kde existuje súbor ( budete potrebovať , ak chcete obnoviť súbor ) . V poslednom stĺpci je názov zmazaného súboru .
6

( Voliteľné ) Obnoviť súbory . Akonáhle budete mať zoznam zmazaných súborov a ich zodpovedajúcich Inode , môžete obnoviť jednotlivé súbory pomocou ICAT nástroj je súčasťou Sleuth Kit

Jednoducho zadajte nasledujúci príkaz z príkazového riadku : . " Sudo ICAT - f < kľúčové slovo súborový systém > - r- s >

. "

výstup cieľ je miesto , kde sa obnoviť súbor zapisovať . To by malo zahŕňať aj adresár ( ktorý by mal byť na zariadení alebo oddiel iný ako ten , ktorý obsahuje odstránený súbor ) a nový názov súboru , ktorý môže , ale nemusí byť rovnaký ako zmazaného súboru .

• Predchádzajúca strana: Ako používať Obnoviť priviesť späť omylom zmazané súbory 
• Ďalšia strana: Ako sa dostať počítač na Diskusia