我有一个使用 ext3 文件系统的驱动器。有人告诉我驱动器上大约有 10Gb 的数据被删除(可能是通过rm)。该驱动器当前以只读方式安装以保留所有数据。有谁知道恢复部分或全部数据的方法吗?另外,如果有帮助的话,操作系统是 Fedora。
我还被告知数据主要是 ASCII fortan 源代码和 Matlab 文件。
结论
我终于设法找回了数据,而且是用最简单的方法!经过数周的尝试,数据都没能找回,今天我请了个人来看看,并提出了一些建议,他只需cd进入目录,一切都在那里!它从来没有丢失过!!!不用说,我觉得真的现在看来很愚蠢,但我从这场闹剧中学到了很多东西。
无论如何,当我查看数据取证解决方案时,我发现 Autopsy,或者更具体地说SleuthKit是最有帮助的。所以我将接受它作为最终答案。
我还想提醒后来遇到此问题的人,sekenre 给出的目前最多赞成的答案也很有帮助,并且让我学到了很多东西,但最终它对于我处理的文件类型(非常多,有些非常大)没有帮助。
因此,感谢所有提供建议的人,并祝大家一切顺利!
答案1
尸检对我的这个目的很有帮助。
debugfs 也可能有帮助
另一种方法,由于您问了,我怀疑这是不可能的,那就是从备份中恢复;)
答案2
尝试这个教程
基本上,您可以使用命令行工具 ext3grep 搜索文件系统的各个部分。我自己还没有尝试过,YMMV。
答案3
如果您所在部门有从事计算机取证工作的员工,我会向他们咨询并寻求指导。他们可能有更多专业工具可供您使用。我们大部分工作都使用 enCase,并且非常幸运地从各种文件系统中恢复了已删除的文件。Autopsy 也是一款出色的免费工具,可用于完成同样的工作,尽管我对它的经验相当缺乏。
答案4
由于最近提到了这个问题,我在这里提出另一个建议:制作文件系统的纯 dd 副本(甚至可以使用在线盒子完成,只需要空间)并找出肯定存在于已删除文件中的某些纯文本(使用源代码应该是完全可能的)。然后是字符串和 grep 文件系统映像......很原始但有时对我有用:)