在命令行中识别所有已删除的文件和文件夹

tag-icon tag-icon command-line ext3
在命令行中识别所有已删除的文件和文件夹

我有一个正在为学校制作的 ext3 映像。我试图识别所有已删除的文件和文件夹,包括这些文件/文件夹的完整路径名和 inode 编号。我认为我需要使用 blkcat 命令,但我不确定我需要哪些参数?

答案1

你能与死者交谈吗?

在此处输入图片描述

删除文件时也几乎发生同样的情况...几乎不可能。当文件被删除时,它就消失了。在大多数系统上,这不会记录在任何地方。

如果您从命令行使用rm,系统通常不会在删除文件之前要求确认。

如果您使用 GUI 工具删除了文件,它们可能仍位于某种“垃圾桶”中。这取决于您使用的桌面环境。

如果您有兴趣恢复已删除的文件,也许以下问答可以帮助您:

不过,有一个名为的工具inotifywait可用于监听指定目录中发生的事件。要监视已删除的文件和文件夹,请使用以下命令:

inotifywait -m -r -e delete dir_name > deleted_files.log

将目录中已删除的文件记录到文件dir_namedeleted_files.log

要安装inotifywait,请使用:

sudo apt-get install inotify-tools

来源:如何查找 Linux 中最近删除的文件和文件夹?

答案2

听起来你在谈论的是侦探工具包 (TKS)。标准 Ubuntu 存储库中有一个sleuthkit可用的包,因此您的第一步是确保已安装该包。该fls工具可能比以下工具更适合作为起点blkcat

DESCRIPTION
       fls lists the files and directory names in the image  and  can  display
       file  names of recently deleted files for the directory using the given
       inode.  If the inode argument is not given, the  inode  value  for  the
       root directory is used. For example, on an NTFS file system it would be
       5 and on a Ext3 file system it would be 2.

之后我真的帮不了你,但有一个在线维基百科以及这篇文章为什么恢复已删除的 Ext3 文件很困难应该可以帮助你开始。

相关内容