ext3grep - Geläscht Dateien op Debian an Ubuntu recuperéieren


ext3grep ass en einfache Programm fir Dateien op engem EXT3 Dateiesystem ze recuperéieren. Et ass en Ermëttlungs- an Erhuelungsinstrument dat nëtzlech ass a Forensik Ermëttlungen. Et hëlleft Informatioun iwwer Dateien ze weisen déi op enger Partition existéiert an och zoufälleg geläscht Dateien recuperéieren.

An dësem Artikel wäerte mir en nëtzlechen Trick demonstréieren, deen Iech hëllefe fir zoufälleg geläscht Dateien op ext3 Dateiesystemer mat ext3grep an Debian an Ubuntu ze recuperéieren.

  • Numm vum Gerät: /dev/sdb1
  • Montéierungspunkt: /mnt/TEST_DRIVE
  • Dateisystemtyp: EXT3

Wéi geläscht Dateien ze recuperéieren Mat ext3grep Tool

Fir APT Package Manager wéi gewisen.

$ sudo apt install ext3grep

Eemol installéiert, elo wäerte mir weisen wéi geläscht Dateien op engem ext3 Dateiesystem recuperéieren.

Als éischt erstelle mir e puer Dateie fir Testzwecker am Mountpunkt /mnt/TEST_DRIVE vun der ext3 Partition/Apparat dh /dev/sdb1 an dësem Fall.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Elo wäerte mir eng Datei mam Numm file5 aus dem Mountpunkt /mnt/TEST_DRIVE vun der ext3 Partition ewechhuelen.

$ sudo rm file5

Elo wäerte mir kucken wéi geläscht Datei mat ext3grep Programm op der geziilter Partition recuperéieren. Als éischt musse mir et vum Montéierungspunkt uewen erofhuelen (Notéiert datt Dir CD Kommando benotze musst fir an en anert Verzeechnes ze wiesselen fir datt d'Unmount Operatioun funktionnéiert, soss weist den umount Kommando de Feeler dat Zil ass beschäftegt).

$ cd
$sudo umount /mnt/TEST_DRIVE

Elo, datt mir ee vun de Fichieren geläscht hunn (déi mir unhuelen datt et zoufälleg gemaach gouf), fir all d'Fichier'en ze gesinn, déi am Apparat existéieren, lafen d'Optioun --dump-name (ersetzen /dev/sdb1 mam aktuellen Apparatnumm).

$ ext3grep --dump-name /dev/sdb1

Fir déi uewe geläscht Datei ze recuperéieren, dh File5, benotze mir d'Optioun --restore-all wéi gewisen.

$ ext3grep --restore-all /dev/sdb1

Wann den Erhuelungsprozess fäerdeg ass, ginn all erholl Dateien an de Verzeechnes RESTORED_FILES geschriwwe ginn, Dir kënnt iwwerpréiwen ob déi geläscht Datei erëmfonnt gëtt oder net.

$ cd RESTORED_FILES
$ ls 

Mir kënnen e bestëmmte Fichier spezifizéieren fir ze recuperéieren, zum Beispill de Fichier mam Numm File5 (oder spezifizéiert de ganze Wee vun der Datei am ext3 Apparat).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1 

Zousätzlech kënne mir och Dateien bannent enger bestëmmter Zäit restauréieren. Zum Beispill, gitt einfach de richtegen Datum an Zäitframe wéi gewisen.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Fir méi Informatioun, kuckt d'ext3grep Man Säit.

$ man ext3grep

Dat ass et! ext3grep ass en einfacht an nëtzlecht Tool fir geläscht Dateien op engem ext3 Dateiesystem z'ënnersichen an ze recuperéieren. Et ass ee vun de beschte Programmer fir Dateien op Linux ze recuperéieren. Wann Dir Froen hutt oder all Gedanken ze deelen, erreechen eis iwwer de Feedback Form hei ënnen.