ext3grep – Gelöschte Dateien unter Debian und Ubuntu wiederherstellen

ext3grep ist ein einfaches Programm zum Wiederherstellen von Dateien in einem EXT3-Dateisystem. Es ist ein Untersuchungs- und Wiederherstellungswerkzeug, das bei forensischen Untersuchungen nützlich ist. Es ist hilfreich, Informationen zu Dateien anzuzeigen, die auf einer Partition vorhanden waren, und versehentlich gelöschte Dateien wiederherzustellen.

In diesem Artikel zeigen wir einen nützlichen Trick, mit dem Sie versehentlich gelöschte Dateien auf ext3-Dateisystemen mithilfe von ext3grep in Debian und Ubuntu wiederherstellen können.

Testszenario

  • Gerätename: / dev / sdb1
  • Einhängepunkt: / mnt / TEST_DRIVE
  • Dateisystemtyp: EXT3

So stellen Sie gelöschte Dateien mit dem ext3grep-Tool wieder her

Um gelöschte Dateien wiederherzustellen, müssen Sie zuerst installieren ext3grep Programmieren Sie auf Ihrem Ubuntu- oder Debian-System mit dem APT-Paketmanager wie gezeigt.

$ sudo apt install ext3grep

Nach der Installation zeigen wir nun, wie gelöschte Dateien auf einem ext3-Dateisystem wiederhergestellt werden.

Zuerst erstellen wir einige Dateien zu Testzwecken im Mount-Punkt /mnt/TEST_DRIVE der ext3-Partition / des ext3-Geräts, dh /dev/sdb1 in diesem Fall.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l
Erstellen Sie Dateien in Mount Point
Erstellen Sie Dateien in Mount Point


Jetzt werden wir eine aufgerufene Datei entfernen file5 vom Einhängepunkt /mnt/TEST_DRIVE der ext3-Partition.

$ sudo rm file5
Entfernen Sie eine Datei unter Linux
Entfernen Sie eine Datei unter Linux

Jetzt werden wir sehen, wie gelöschte Dateien mit wiederhergestellt werden ext3grep Programm auf der Zielpartition. Zuerst müssen wir die Bereitstellung vom obigen Mount-Punkt aus aufheben (beachten Sie, dass Sie den Befehl cd verwenden müssen, um in ein anderes Verzeichnis zu wechseln, damit die Operation zum Aushängen funktioniert, andernfalls die umount Befehl zeigt den Fehler “Dieses Ziel ist beschäftigt“).

$ cd
$sudo umount /mnt/TEST_DRIVE

Nachdem wir eine der Dateien gelöscht haben (von denen wir annehmen, dass sie versehentlich ausgeführt wurden), führen Sie die aus, um alle auf dem Gerät vorhandenen Dateien anzuzeigen --dump-name Option (ersetzen /dev/sdb1 mit dem tatsächlichen Gerätenamen).

$ ext3grep --dump-name /dev/sdb1
Dateien auf Partition anzeigen
Dateien auf Partition anzeigen

Um die oben gelöschte Datei wiederherzustellen, dh file5, wir benutzen das --restore-all Option wie gezeigt.

$ ext3grep --restore-all /dev/sdb1

Sobald der Wiederherstellungsprozess abgeschlossen ist, werden alle wiederhergestellten Dateien in das Verzeichnis geschrieben RESTORED_FILESkönnen Sie überprüfen, ob die gelöschte Datei wiederhergestellt wurde oder nicht.

$ cd RESTORED_FILES
$ ls
Stellen Sie eine gelöschte Datei wieder her
Stellen Sie eine gelöschte Datei wieder her

Wir können eine bestimmte Datei angeben, die wiederhergestellt werden soll, beispielsweise die aufgerufene Datei file5 (oder geben Sie den vollständigen Pfad der Datei auf dem ext3-Gerät an).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1

Darüber hinaus können wir Dateien innerhalb eines bestimmten Zeitraums wiederherstellen. Geben Sie beispielsweise einfach den richtigen Datums- und Zeitrahmen wie gezeigt an.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Weitere Informationen finden Sie in der Manpage ext3grep.

$ man ext3grep

Das ist es! ext3grep ist ein einfaches und nützliches Tool zum Untersuchen und Wiederherstellen gelöschter Dateien in einem ext3-Dateisystem. Es ist eines der besten Programme, um Dateien unter Linux wiederherzustellen. Wenn Sie Fragen oder Anregungen haben, erreichen Sie uns über das unten stehende Feedback-Formular.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *