På et tidspunkt , alle uhell sletter feil bilde av en kameraets minnekort , mister viktige filer fra en minnepinne , eller tømmer papirkurven like før realisere det var noe viktig i det. Selv om ikke alt slettet er gjenvinnbart , kan fritt tilgjengelige Linux etterforskning verktøy som The Sleuth Kit hjelpe deg å identifisere hva du har mistet og kanskje hjelpe deg å få disse filene tilbake . Instruksjoner , Lag liste over slettede filer
en
Last ned og installer Sleuth Kit ( TSK ) med Linux-distribusjonen sitt pakkesystem eller fra kommandolinjen ved å skrive : " sudo apt- get install sleuthkit "( eller tilsvarende kommando for din versjon av Linux) .
p Hvis Sleuth Kit er ikke tilgjengelig fra depotene dine , kan du laste den ned fra The Sleuth Kit hjemmeside og installere det ved å følge instruksjonene .
2
Identifiser partisjon eller enheten du vil gjenopprette filer fra . Hvis du vet mount punktet, vil dette være tilstrekkelig . Ellers kjører " mount - l" fra kommandolinjen for å få en liste over alle monterte enheter og deres mount punkter. Enheten plasseringen vil se omtrent slik : "/dev/sdb1 . " Du trenger dette i påfølgende trinn
3
Identifiser filsystemet som brukes av enheten. . Skriv " sudo df - T " fra kommandolinjen .
Når du vet type filsystem , kjør " FLS -f liste " for å finne søkeord Sleuth Kit bruker for at filsystemet . For fett , ext , og UFS filsystemer , bruker Auto Detection nøkkelord for å ha Sleuth Kit jobbe ut detaljene
4
generere en logg av slettede filer ved å kjøre følgende fra kommandolinjen : . " ; . sudo fls -f - d -r -v -p > "For eksempel , en ext3 utvinning på /dev/sdb1 skriving til deleted_files.txt på skrivebordet ville se slik ut: " sudo FLS -f ext - d -r -v -p /dev/sdb1 > ~ /Desktop /deleted_files.txt . "
p Med dette kommando , forteller du fls å finne slettede filer ( - d ) , rekursivt vise kataloger ( -r ), viser den fullstendige banen til filene ( -p ) , og å kjøre i verbose mode ( -v ) slik at du kan se hva som er skjer.
Husk at denne kommandoen vil skanne en hel partisjon , så kan store partisjoner eller enheter ta en stund å fullføre.
5
Les den genererte listen over slettede filer. Det er tre viktige kolonner du bør ta hensyn til . Den første viser om filen er en vanlig fil ( r ) eller en katalog ( d ) . Den andre er Inode hvor filen finnes ( du trenger dette hvis du ønsker å angre på filen ) . Den siste kolonnen er navnet på den slettede filen .
6
(valgfritt ) Gjenopprette filer . Når du har en liste over slettede filer og tilhørende inoder , kan du gjenopprette individuelle filer ved hjelp av ICAT verktøyet som følger med Sleuth Kit
Bare skriv inn følgende fra kommandolinjen : . " Sudo ICAT -f < filsystemet søkeord > - r- s >
