我有一个使用ext3文件系统的驱动器。 我被告知大约10Gb的数据被从驱动器上删除(可能通过rm )。 该驱动器当前以只读方式挂载以保留所有数据。 有谁知道一种方法来恢复一些或所有的数据? 如果有帮助,操作系统是Fedora。
我也被告知,数据主要是ASCII fortan源代码和Matlab文件。
我终于设法得到了数据,并以最简单的方式! 经过几个星期的努力,没有收回大量的数据,我今天带了一个人来看看它,并提供build议,他只是简单的cd到目录,一切都在那里! 它从来没有丢失在首位! 毋庸置疑,我现在感觉真的很愚蠢,但是我从这次惨败中学到了很多东西。
无论如何,在我查看数据取证解决scheme时,我发现尸检,或者更具体地说, SleuthKit是最有帮助的。 所以我会接受这个最终答案。
我还想指出,对于后来碰到的人来说,sekenre提出的最新的(当前)答案也是有帮助的,我学到了很多东西,但是最终却没有帮助这个types(非常多,有些非常大)我正在处理的文件。
所以,感谢所有提供build议的人,祝你一切顺利!
为了这个目的,尸检对我很好。
debugfs也可能是有帮助的
另一种方法,我怀疑是不可能的,因为你问,是从备份恢复;)
试试这个教程
基本上你可以使用命令行工具ext3grepsearch文件系统的各个部分。 我自己没有尝试过这个YMMV。
如果你有一个执行计算机取证的工作人员的部门,我会和他们讨论指导。 他们可能会有更多专门的工具可供您使用。 我们大部分工作都使用了enCase,并且从各种文件系统恢复已删除的文件的运气非常好。 对于做同样的工作,尸检也是一个很好的免费工具,尽pipe我的经验相当缺乏。
有一些法医文件恢复工具可用。 其中之一是最重要的 。
由于最近提到这个问题,所以我会在这里提出另一个build议:做一个文件系统的简单的dd副本(甚至可以在网上做盒子,只需要空间),并找出一些明确的在删除的文件(源代码应该是完全可能的)。 然后string和grep的文件系统图像…原语,但有时为我工作:)