Ricerca nel sito web

ext3grep - Recupera file cancellati su Debian e Ubuntu


ext3grep è un semplice programma per recuperare file su un filesystem EXT3. È uno strumento di indagine e recupero utile nelle indagini forensi. Aiuta a mostrare informazioni sui file esistenti su una partizione e anche a recuperare file cancellati accidentalmente.

In questo articolo, dimostreremo un trucco utile, che ti aiuterà a recuperare file cancellati accidentalmente su filesystem ext3 utilizzando ext3grep in Debian e Ubuntu.

Scenario di prova

  • Nome del dispositivo: /dev/sdb1
  • Punto di montaggio: /mnt/TEST_DRIVE
  • Tipo di file system: EXT3

Come recuperare file cancellati utilizzando lo strumento ext3grep

Per recuperare i file cancellati, devi prima installare il programma ext3grep sul tuo sistema Ubuntu o Debian utilizzando il gestore pacchetti APT come mostrato.

sudo apt install ext3grep

Una volta installato, ora dimostreremo come recuperare file cancellati su un filesystem ext3.

Innanzitutto, creeremo alcuni file a scopo di test nel punto di montaggio /mnt/TEST_DRIVE della partizione/dispositivo ext3, ovvero /dev/sdb1 in questo caso.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Ora rimuoveremo un file chiamato file5 dal punto di montaggio /mnt/TEST_DRIVE della partizione ext3.

sudo rm file5

Ora vedremo come recuperare il file cancellato utilizzando il programma ext3grep sulla partizione di destinazione. Innanzitutto, dobbiamo smontarlo dal punto di montaggio sopra (nota che devi usare il comando cd per passare a un'altra directory affinché l'operazione di smontaggio funzioni, altrimenti il comando umount mostrerà l'errore "quel target è occupato").

cd
$sudo umount /mnt/TEST_DRIVE

Ora che abbiamo eliminato uno dei file (cosa che presumiamo sia stata eseguita accidentalmente), per visualizzare tutti i file esistenti nel dispositivo, esegui l'opzione --dump-name (sostituisci /dev/sdb1 con il nome effettivo del dispositivo).

ext3grep --dump-name /dev/sdb1

Per recuperare il file eliminato sopra, ovvero file5, utilizziamo l'opzione --restore-all come mostrato.

ext3grep --restore-all /dev/sdb1

Una volta completato il processo di recupero, tutti i file recuperati verranno scritti nella directory RESTORED_FILES, puoi verificare se il file eliminato è stato recuperato o meno.

cd RESTORED_FILES
ls 

Possiamo specificare un particolare file da recuperare, ad esempio il file chiamato file5 (o specificare il percorso completo del file all'interno del dispositivo ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

Inoltre, possiamo anche ripristinare i file entro un determinato periodo di tempo. Ad esempio, è sufficiente specificare la data e l'intervallo di tempo corretti come mostrato.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Per ulteriori informazioni, vedere la pagina man ext3grep.

man ext3grep

Questo è tutto! ext3grep è uno strumento semplice e utile per indagare e recuperare file cancellati su un filesystem ext3. È uno dei migliori programmi per recuperare file su Linux. Se hai domande o pensieri da condividere, contattaci tramite il modulo di feedback qui sotto.