Wie man eine Liste der gelöschten Dateien unter Linux
Ab einem gewissen Zeitpunkt jeder versehentlich löscht das falsche Foto aus einer Kamera-Speicherkarte, verliert wichtige Dateien von Thumb Drive oder leert den Papierkorb, kurz bevor es zu realisieren, etwas wichtiges drin wurde. Zwar nicht alles gelöscht ist erstattungsfähig, frei verfügbaren Linux-Forensik-Tools, wie z. B. The Sleuth Kit helfen können Sie erkennen, was Sie verloren haben und vielleicht helfen Ihnen diese Dateien zurück.
Anweisungen
Liste der gelöschten Dateien erstellen
1 Downloaden und installieren Sie die Detektiv-Kit (TSK) mit Hilfe der Paketverwaltung Ihrer Linux-Distribution oder über die Befehlszeile durch Eingabe von: "Sudo apt-Get install Sleuthkit" (oder den entsprechenden Befehl für Ihre Version von Linux).
Wenn Sleuth Kit aus Ihrem Repositories nicht verfügbar ist, können von The Sleuth Kit-Homepage herunterladen und installieren Sie sie anhand der Anweisungen.
2 Identifizieren Sie die Partition oder das Gerät Sie Dateien wiederherstellen möchten. Kennt man den Mount zeigen, wird dies ausreichen. Andernfalls "Berg -l" von der Befehlszeile aus ausführen erhalten eine Liste aller Geräte und montiert ihre Mount-Punkte. Der Gerätestandort wird etwa so aussehen: "/ Dev/sdb1." Sie benötigen dies in den nachfolgenden Schritten.
3 Identifizieren Sie das Dateisystem, das von dem Gerät verwendet wird. Typ "Sudo df -T < Gerätestandort >" von der Befehlszeile aus.
Wenn Sie den Typ des Dateisystems kennen, führen Sie "Fls -f-Liste" Sleuth Kit verwendet, um das Schlüsselwort zu finden für das Dateisystem. Verwenden Sie für Fat, Ext und Ufs Dateisysteme das Schlüsselwort Auto Detection Sleuth Kit erarbeiten die Besonderheiten haben.
4 Erzeugen Sie ein Protokoll der gelöschten Dateien von der Befehlszeile folgenden Befehl ausführen: "Sudo Fls -f < Datei-System-Schlüsselwort > -d - R - V -p </Gerätepartition Lage >>< Datei schreiben >." Beispielsweise eine ext3-Erholung auf/Dev/sdb1 schreiben in deleted_files.txt auf dem Desktop aussehen würde: "Sudo Fls -f Ext -d - R - V -p/Dev/sdb1 > ~ / Desktop/deleted_files.txt."
Mit diesem Befehl du Sag Fls zu suchen, die gelöschte Dateien (-d), Display-Verzeichnisse rekursiv (-R), zeigen den vollständigen Pfad der Dateien (-p), und im ausführlichen Modus ausgeführt (-V) so Sie sehen können, was passiert.
Denken Sie daran, die mit diesem Befehl eine gesamte Partition Scannen wird, daher große Partitionen oder Geräte können eine Weile dauern.
5 Lesen Sie die generierte Liste der gelöschten Dateien. Es gibt drei wichtige Spalten, die, denen Sie beachten sollten. Das erste zeigt, ob die Datei eine normale Datei (R) oder ein Verzeichnis (d). Die zweite ist die Inode wo befindet sich die Datei (benötigen Sie dies wenn Sie die Datei wiederherstellen möchten). Die letzte Spalte ist der Name der gelöschten Datei.
6 (Optional) Wiederherstellen von Dateien. Sobald Sie eine Liste der gelöschten Dateien und ihre zugehörigen Inodes haben, können Sie einzelne Dateien mit dem Detektiv-Kit enthaltenen Icat-Tool wiederherstellen.
Geben Sie einfach Folgendes über die Befehlszeile: "Sudo Icat -f < Datei-System-Schlüsselwort > - R -s </Gerätepartition Lage >< Inode >>< Ausgabeziel >."
Das Ausgabeziel ist wo in die wiederhergestellte Datei geschrieben wird. Es sollte das Verzeichnis (das sollte auf ein Gerät oder eine Partition als demjenigen, der die gelöschten Datei) und die neuen Dateinamen, die möglicherweise oder möglicherweise nicht das gleiche wie die gelöschte Datei.
Tipps & Warnungen
- Sollten Sie planen, mehr umfangreiche forensische Aufgaben zu tun, machen ein Spiegelbild der Partition oder dem Gerät, das Sie verwenden möchten und arbeiten mit diesem Bild, jedes Risiko von Datenverlust zu beseitigen. Der Dd-Befehl ist äußerst nützlich für die Erstellung von Disk-Images.