网站搜索

ext3grep - 在 Debian 和 Ubuntu 上恢复已删除的文件


ext3grep 是一个用于恢复 EXT3 文件系统上的文件的简单程序。它是一种调查和恢复工具,可用于取证调查。它有助于显示分区上存在的文件的信息,还可以恢复意外删除的文件。

在本文中,我们将演示一个有用的技巧,它将帮助您在 Debian 和 Ubuntu 中使用 ext3grep 恢复 ext3 文件系统上意外删除的文件。

测试场景

  • 设备名称:/dev/sdb1
  • 挂载点:/mnt/TEST_DRIVE
  • 文件系统类型:EXT3

如何使用 ext3grep 工具恢复已删除的文件

要恢复已删除的文件,首先需要使用 APT 包管理器在 Ubuntu 或 Debian 系统上安装 ext3grep 程序,如图所示。

sudo apt install ext3grep

安装完成后,现在我们将演示如何恢复 ext3 文件系统上已删除的文件。

首先,我们将在 ext3 分区/设备的挂载点 /mnt/TEST_DRIVE 中创建一些用于测试目的的文件,即本例中的 /dev/sdb1

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

现在我们将从 ext3 分区的挂载点 /mnt/TEST_DRIVE 中删除一个名为 file5 的文件。

sudo rm file5

现在我们将了解如何在目标分区上使用 ext3grep 程序恢复已删除的文件。首先,我们需要从上面的挂载点卸载它(注意,必须使用 cd 命令切换到另一个目录才能进行卸载操作,否则 umount 命令会显示错误“该目标正忙“)。

cd
$sudo umount /mnt/TEST_DRIVE

现在我们已经删除了其中一个文件(我们假设这是意外删除的),要查看设备中存在的所有文件,请运行 --dump-name 选项(替换 >/dev/sdb1 为实际设备名称)。

ext3grep --dump-name /dev/sdb1

要恢复上面删除的文件,即 file5,我们使用 --restore-all 选项,如图所示。

ext3grep --restore-all /dev/sdb1

恢复过程完成后,所有恢复的文件将写入目录RESTORED_FILES,您可以检查删除的文件是否已恢复。

cd RESTORED_FILES
ls 

我们可以指定要恢复的特定文件,例如名为 file5 的文件(或指定该文件在 ext3 设备中的完整路径)。


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

另外,我们还可以在给定的时间内恢复文件。例如,只需指定正确的日期和时间范围,如图所示。

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

有关更多信息,请参阅 ext3grep 手册页。

man ext3grep

就是这样! ext3grep 是一个简单而有用的工具,用于调查和恢复 ext3 文件系统上已删除的文件。它是 Linux 上恢复文件的最佳程序之一。如果您有任何问题或任何想法要分享,请通过下面的反馈表与我们联系。