我尝试删除所有名为“Thumbs.db”的文件,例如
$ rm -rd /path/to/hdd/decrypted/folder/* --name Thumbs.db
但它刚刚开始按字母顺序删除。现在,我必须恢复仍在硬盘上的文件,但是
- 它们是加密的
和
- 同时我关闭了电脑并拔掉了之前的硬盘。
有办法做到吗?
我尝试了 testdisk 和 photorec,如评论中所述,这在某种程度上对于非第一次尝试有效。
但我希望将我的文件恢复到它们所在的(子)文件夹中,而不仅仅是裸文件本身。
答案1
首先,在恢复期间切勿以读写方式挂载磁盘。然后/dev/mapper/foo-crypt,如果您有一些仅适用于真实磁盘的工具,则可以将解密的设备(在 中)复制到未加密的设备。对于通常的 Linux 实用程序来说/dev/mapper/foo-crypt)应该没问题。
那么 testdisk 和 photorec 是不错的选择,如果您需要一些重要的文本文档,您甚至可以尝试使用 dd 和 grep 剪切图像的不同部分并尝试查找信息。
好消息是,大多数数据可能仍然存在。坏消息是,文件名和目录名经常消失,可以恢复多少取决于您的文件系统。经典的 Windows 方法是(使用 FAT32)将文件名的第一个字节替换为 0,因此文件名几乎完好无损。据我所知,ext2/3/4 完全破坏了 inode。因此,您可能找不到此类元数据,但像 testdisk 这样的工具应该能够从分区中的原始数据中提取它们知道的文件格式。
如果您发现任何包含目录结构的文件,您也许能够恢复该目录结构。例如,查找locate(1) 数据库、桌面搜索引擎的索引、gnome/kde/不同程序中最近的文件条目等。
您可能必须自己将恢复的文件分类到找到的目录结构中。