ext3grep - 在 Debian 和 Ubuntu 上恢复已删除的文件
ext3grep 是一个用于恢复 EXT3 文件系统上的文件的简单程序。它是一种调查和恢复工具,可用于取证调查。它有助于显示分区上存在的文件的信息,还可以恢复意外删除的文件。
在本文中,我们将演示一个有用的技巧,它将帮助您在 Debian 和 Ubuntu 中使用 ext3grep 恢复 ext3 文件系统上意外删除的文件。
测试场景
- 设备名称:/dev/sdb1
- 挂载点:/mnt/TEST_DRIVE
- 文件系统类型:EXT3
如何使用 ext3grep 工具恢复已删除的文件
要恢复已删除的文件,首先需要使用 APT 包管理器在 Ubuntu 或 Debian 系统上安装 ext3grep 程序,如图所示。
sudo apt install ext3grep
安装完成后,现在我们将演示如何恢复 ext3 文件系统上已删除的文件。
首先,我们将在 ext3 分区/设备的挂载点 /mnt/TEST_DRIVE
中创建一些用于测试目的的文件,即本例中的 /dev/sdb1
。
cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l
现在我们将从 ext3 分区的挂载点 /mnt/TEST_DRIVE
中删除一个名为 file5
的文件。
sudo rm file5
现在我们将了解如何在目标分区上使用 ext3grep 程序恢复已删除的文件。首先,我们需要从上面的挂载点卸载它(注意,必须使用 cd 命令切换到另一个目录才能进行卸载操作,否则 umount 命令会显示错误“该目标正忙“)。
cd
$sudo umount /mnt/TEST_DRIVE
现在我们已经删除了其中一个文件(我们假设这是意外删除的),要查看设备中存在的所有文件,请运行 --dump-name
选项(替换 >/dev/sdb1
为实际设备名称)。
ext3grep --dump-name /dev/sdb1
要恢复上面删除的文件,即 file5
,我们使用 --restore-all
选项,如图所示。
ext3grep --restore-all /dev/sdb1
恢复过程完成后,所有恢复的文件将写入目录RESTORED_FILES,您可以检查删除的文件是否已恢复。
cd RESTORED_FILES
ls
我们可以指定要恢复的特定文件,例如名为 file5
的文件(或指定该文件在 ext3 设备中的完整路径)。
ext3grep --restore-file file5 /dev/sdb1
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1
另外,我们还可以在给定的时间内恢复文件。例如,只需指定正确的日期和时间范围,如图所示。
ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1
有关更多信息,请参阅 ext3grep 手册页。
man ext3grep
就是这样! ext3grep 是一个简单而有用的工具,用于调查和恢复 ext3 文件系统上已删除的文件。它是 Linux 上恢复文件的最佳程序之一。如果您有任何问题或任何想法要分享,请通过下面的反馈表与我们联系。