我想借助 Python 程序恢复分区中已删除的数据。
我知道删除时,仅删除该文件的索引节点信息,但删除时这些位不会被零覆盖。但是,如何访问该分区并从那里检索数据?
我想处理文件删除问题。我正在使用 ext4 文件系统。
这是网络取证课程作业的一部分。然而,我的老师不知道如何执行这项任务。我们被要求使用现成的工具进行恢复,这对我们作为学生来说没有任何意义,因为我们看不到来源。所以,我希望能够编写一个等效的恢复工具。
答案1
我强烈建议您从现有工具开始。由于它们都是开源的,你可以看到它们是如何编写的。
如果您确实想从头开始编写自己的实用程序,您可能需要从阅读和理解此页面开始:
https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout
该页面可能不完整,并且可能需要引用实际的内核驱动程序代码。