ext3grep - Pagbawi sa Natangtang nga mga File sa Debian ug Ubuntu

Ang ext3grep usa ka yano nga programa alang sa pagbawi sa mga file sa usa ka EXT3 filesystem. Kini usa ka himan sa imbestigasyon ug pagbawi nga mapuslanon sa mga imbestigasyon sa forensics. Nakatabang kini sa pagpakita sa kasayuran bahin sa mga file nga naglungtad sa usa ka partisyon ug usab mabawi ang aksidente nga natangtang nga mga file.

Niini nga artikulo, ipakita namon ang usa ka mapuslanon nga limbong, nga makatabang kanimo nga mabawi ang aksidenteng natangtang nga mga file sa ext3 filesystem gamit ang ext3grep sa Debian ug Ubuntu.

  • Ngalan sa device: /dev/sdb1
  • Mount point: /mnt/TEST_DRIVE
  • Mahi sa filesystem: EXT3

Giunsa Pagbawi ang Natangtang nga mga File Gamit ang Ext3grep Tool

Sa APT package manager sama sa gipakita.

$ sudo apt install ext3grep

Kung na-install na, karon ipakita namon kung giunsa pagbawi ang mga natangtang nga file sa usa ka ext3 filesystem.

Una, maghimo mig mga file para sa testing purpose sa mount point /mnt/TEST_DRIVE sa ext3 partition/device ie /dev/sdb1 niini nga kaso.

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Karon atong tangtangon ang usa ka file nga gitawag og file5 gikan sa mount point /mnt/TEST_DRIVE sa ext3 partition.

$ sudo rm file5

Karon atong tan-awon kon unsaon pagbawi sa natangtang nga file gamit ang ext3grep nga programa sa gipunting nga partisyon. Una, kinahanglan natong i-unmount kini gikan sa mount point sa ibabaw (timan-i nga kinahanglan nimong gamiton ang cd command aron mobalhin sa laing direktoryo aron magtrabaho ang unmount operation, kung dili ang umount command magpakita sa sayup nga busy kana nga target).

$ cd
$sudo umount /mnt/TEST_DRIVE

Karon nga natangtang na namo ang usa sa mga file (nga atong gituohan nga wala tuyoa), aron makita ang tanang mga file nga anaa sa device, padagana ang --dump-name nga opsyon (ilisan ang /dev/sdb1 uban sa aktuwal nga ngalan sa device).

$ ext3grep --dump-name /dev/sdb1

Aron mabawi ang natangtang nga file sa ibabaw ie file5, among gigamit ang --restore-all nga kapilian sama sa gipakita.

$ ext3grep --restore-all /dev/sdb1

Kung nahuman na ang proseso sa pagbawi, ang tanan nga nakuha nga mga file isulat sa direktoryo nga RESTORED_FILES, mahimo nimong susihon kung nabawi ba o wala ang natangtang nga file.

$ cd RESTORED_FILES
$ ls

Mahimo natong ipiho ang usa ka partikular nga file aron mabawi, pananglitan ang payl nga gitawag og file5 (o ipiho ang tibuok agianan sa file sulod sa ext3 device).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1

Dugang pa, mahimo usab namon nga ibalik ang mga file sa sulod sa gihatag nga yugto sa panahon. Pananglitan, ipiho lang ang hustong petsa ug time frame sama sa gipakita.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Para sa dugang nga impormasyon, tan-awa ang ext3grep man page.

$ man ext3grep

Mao na! Ang ext3grep usa ka yano ug mapuslanon nga himan sa pag-imbestiga ug pagbawi sa mga natanggal nga file sa usa ka ext3 filesystem. Kini usa sa labing kaayo nga mga programa aron mabawi ang mga file sa Linux. Kung naa kay pangutana o bisan unsang hunahuna nga ipaambit, kontaka kami pinaagi sa porma sa feedback sa ubos.