An einem gewissen Punkt , jeder löscht versehentlich das falsche Foto aus einer Kamera -Speicherkarte, verliert wichtige Dateien von einem USB-Stick , oder leert den Papierkorb kurz vor der Realisierung gab es etwas Wichtiges drin. Zwar nicht alles gelöscht ist erstattungsfähig , frei verfügbar Linux Forensik-Tools wie The Sleuth Kit helfen herauszufinden, was Sie verloren haben und vielleicht Ihnen helfen, die Dateien wieder . Anleitung
erstellen Liste der gelöschten Dateien
1
Herunterladen und Installieren des Sleuth Kit ( TSK ) mit Ihrem Linux-Distribution Paket -Management-System oder von der Kommandozeile aus , indem Sie : "sudo apt- get install sleuthkit " (oder der entsprechende Befehl für Ihre Version von Linux).
Wenn Sleuth Kit ist nicht von Ihrem Repositories verfügbar, können Sie es aus dem Sleuth Kit Homepage herunterladen und installieren Sie es über den Instruktionen.
Seite 2
Identifizieren Sie die Partition oder Gerät, das Sie Dateien von zu erholen. Wenn Sie den Mount-Punkt kennen, wird dies ausreichend sein. Andernfalls laufen "mount- l " von der Kommandozeile aus , um eine Liste aller montierten Geräte und deren Mount-Punkte zu bekommen. Der Standort des Geräts wird in etwa so aussehen : " /dev/sdb1 . " Du wirst in einer nachfolgenden Schritte müssen
3
Identifizieren Sie das Dateisystem durch das Gerät verwendet. . Geben Sie "sudo df- T " von der Kommandozeile aus .
Sobald Sie wissen, den Typ des Dateisystems , laufen " fls -f list" , um das Schlüsselwort Sleuth Kit finden nutzt dafür Dateisystem. Für Fett, ext und UFS-Dateisystemen , verwenden Sie die Auto Detection Stichwort zu haben Sleuth Kit erarbeiten die Besonderheiten
4
Generieren ein Protokoll der gelöschten Dateien , indem Sie das folgende von der Kommandozeile aus : . " ; . sudo fls -f -d -r- v -p > schreiben "Zum Beispiel ein ext3 Recovery on /dev/sdb1 schriftlich zu deleted_files.txt auf dem Desktop aussehen würde : "sudo fls -f ext- d -r -v- p /dev/sdb1 > ~ /Desktop /deleted_files.txt . "
Mit diesem Befehl , werden Sie sagen, fls , um gelöschte Dateien (-d) zu finden , rekursiv anzuzeigen Verzeichnisse (-r) , den vollständigen Pfad der Dateien (-p) , und im ausführlichen Modus (-v) laufen , so dass Sie sehen können, was passiert.
beachten Sie, dass dieser Befehl eine ganze Partition zu scannen, kann so große Partitionen oder Geräte eine Weile dauern , um abzuschließen.
5
Lesen Sie die generierte Liste der gelöschten Dateien . Es gibt drei wichtige Säulen Sie achten sollten . Die erste zeigt , ob die Datei eine normale Datei (r) oder ein Verzeichnis ( d) ist . Die zweite ist die Inode ist, wo die Datei vorhanden ist (Sie werden diese benötigen, wenn Sie die Datei wiederherstellen möchten) . In der letzten Spalte ist der Name der gelöschten Datei .
6
(Optional) Wiederherstellen von Dateien . Sobald Sie eine Liste der gelöschten Dateien und ihre entsprechenden Inodes haben, können Sie einzelne Dateien mit der icat Werkzeug mit Sleuth Kit enthalten
Geben Sie einfach den folgenden von der Kommandozeile aus : . "Sudo icat -f < Dateisystem keyword> -r -s >
