我有一个使用 ext3 文件系统的驱动器。有人告诉我,大约 10Gb 的数据从驱动器中删除(可能是通过rm)。该驱动器当前以只读方式安装以保留所有数据。有谁知道恢复部分或全部数据的方法?此外,如果它有帮助,操作系统是 Fedora。
我还被告知数据主要是 ASCII fortan 源代码和 Matlab 文件。
结论
我终于设法用最简单的方法取回了数据!经过数周的尝试并未能带回任何数据,我今天带了一个人来查看它并提供建议,他只是简单地cd进入目录,一切都在那里!它从一开始就没有丢失过!!!不用说我现在真的很笨,但是我从整个惨败中学到了很多。
无论如何,当我浏览数据取证解决方案时,我发现尸检,或者更具体地说,SleuthKit是最有帮助的。所以我会接受这个作为最终答案。
我还想提醒后来遇到此问题的任何人,sekenre 投票最多(当前)的答案也很有帮助,我学到了很多,但最终它对类型没有帮助(很多,还有一些非常大)我正在处理的文件。
因此,感谢所有提供建议的人,并祝您一切顺利!
试试这个教程
基本上,您可以使用命令行工具 ext3grep 来搜索文件系统的各个部分。我自己没有试过这个YMMV。
为此,尸检对我很有帮助。
debugfs 也可能有帮助
另一种方法,我怀疑这是不可能的,因为你在问,是从你的备份中恢复;)
如果您有执行计算机取证的员工部门,我会向他们寻求指导。他们可能有更专业的工具可供您使用。我们在大部分工作中都使用 enCase,并且很幸运能够从各种文件系统中恢复已删除的文件。尸检也是一个很好的免费工具来做同样的工作,虽然我对它的经验相当缺乏。
有许多可用的取证文件恢复工具。其中之一是最重要的。
由于最近提到了这个问题,我将在此处提出另一个建议:制作文件系统的普通 dd 副本(甚至可以在线使用盒子完成,只需要空间)并找出肯定在已删除文件中的一些纯文本(使用应该完全可能的源代码)。然后是字符串并 grep 文件系统映像...原始但有时对我有用:)