ค้นหาเว็บไซต์

ext3grep - กู้คืนไฟล์ที่ถูกลบบน Debian และ Ubuntu

ext3grep เป็นโปรแกรมง่ายๆ สำหรับการกู้คืนไฟล์บนระบบไฟล์ EXT3 เป็นเครื่องมือสืบสวนและกู้คืนที่มีประโยชน์ในการสืบสวนทางนิติเวช ช่วยแสดงข้อมูลเกี่ยวกับไฟล์ที่มีอยู่ในพาร์ติชันและกู้คืนไฟล์ที่ถูกลบโดยไม่ตั้งใจ

ในบทความนี้ เราจะสาธิตเคล็ดลับที่เป็นประโยชน์ ซึ่งจะช่วยคุณกู้คืนไฟล์ที่ถูกลบโดยไม่ตั้งใจบนระบบไฟล์ ext3 โดยใช้ ext3grep ใน Debian และ Ubuntu

สถานการณ์การทดสอบ

  • ชื่ออุปกรณ์: /dev/sdb1
  • จุดเมานท์: /mnt/TEST_DRIVE
  • ประเภทระบบไฟล์: EXT3

วิธีการกู้คืนไฟล์ที่ถูกลบโดยใช้เครื่องมือ ext3grep

ในการกู้คืนไฟล์ที่ถูกลบ ขั้นแรกคุณต้องติดตั้งโปรแกรม ext3grep บนระบบ Ubuntu หรือ Debian โดยใช้ APT package manager ดังที่แสดง

sudo apt install ext3grep

เมื่อติดตั้งแล้ว ตอนนี้เราจะสาธิตวิธีการกู้คืนไฟล์ที่ถูกลบบนระบบไฟล์ ext3

ขั้นแรก เราจะสร้างไฟล์บางไฟล์เพื่อการทดสอบในจุดเมานท์ /mnt/TEST_DRIVE ของพาร์ติชัน/อุปกรณ์ ext3 เช่น /dev/sdb1 ในกรณีนี้

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

ตอนนี้เราจะลบไฟล์หนึ่งไฟล์ชื่อ file5 ออกจากจุดเมานท์ /mnt/TEST_DRIVE ของพาร์ติชัน ext3

sudo rm file5

ตอนนี้เรามาดูวิธีการกู้คืนไฟล์ที่ถูกลบโดยใช้โปรแกรม ext3grep บนพาร์ติชันเป้าหมาย ขั้นแรก เราต้องถอนการเชื่อมต่อจากจุดเชื่อมต่อด้านบน (โปรดทราบว่าคุณต้องใช้คำสั่ง cd เพื่อสลับไปยังไดเร็กทอรีอื่นเพื่อให้การดำเนินการถอนการเชื่อมต่อทำงานได้ ไม่เช่นนั้นคำสั่ง umount จะแสดงข้อผิดพลาด “เป้าหมายนั้นไม่ว่าง“)

cd
$sudo umount /mnt/TEST_DRIVE

ตอนนี้เราได้ลบไฟล์หนึ่งไฟล์แล้ว (ซึ่งเราถือว่าทำโดยไม่ได้ตั้งใจ) หากต้องการดูไฟล์ทั้งหมดที่มีอยู่ในอุปกรณ์ ให้เรียกใช้ตัวเลือก --dump-name (แทนที่ /dev/sdb1 ด้วยชื่ออุปกรณ์จริง)

ext3grep --dump-name /dev/sdb1

ในการกู้คืนไฟล์ที่ถูกลบข้างต้น เช่น file5 เราใช้ตัวเลือก --restore-all ดังที่แสดง

ext3grep --restore-all /dev/sdb1

เมื่อกระบวนการกู้คืนเสร็จสมบูรณ์ ไฟล์ที่กู้คืนทั้งหมดจะถูกเขียนลงในไดเร็กทอรี RESTORED_FILES คุณสามารถตรวจสอบว่าไฟล์ที่ถูกลบได้รับการกู้คืนหรือไม่

cd RESTORED_FILES
ls

เราอาจระบุไฟล์เฉพาะที่จะกู้คืน เช่น ไฟล์ชื่อ file5 (หรือระบุเส้นทางแบบเต็มของไฟล์ภายในอุปกรณ์ ext3)


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

นอกจากนี้เรายังสามารถกู้คืนไฟล์ได้ภายในระยะเวลาที่กำหนดอีกด้วย เช่น เพียงระบุวันที่และกรอบเวลาที่ถูกต้องตามที่แสดง

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

สำหรับข้อมูลเพิ่มเติม โปรดดูที่หน้า ext3grep man

man ext3grep

แค่นั้นแหละ! ext3grep เป็นเครื่องมือที่ง่ายและมีประโยชน์ในการตรวจสอบและกู้คืนไฟล์ที่ถูกลบบนระบบไฟล์ ext3 เป็นหนึ่งในโปรแกรมที่ดีที่สุดในการกู้คืนไฟล์บน Linux หากคุณมีคำถามหรือความคิดเห็นใดๆ ที่จะแบ่งปัน โปรดติดต่อเราผ่านแบบฟอร์มคำติชมด้านล่าง