någon gång, alla misstag raderar fel bild av en kameras minneskort , förlorar viktiga filer från ett USB-minne , eller tömmer papperskorgen precis innan insåg att det var något viktigt i det . Även om inte allt raderas är återvinningsbara , kan fritt tillgängliga linux kriminalteknik verktyg som Sleuth Kit hjälper dig att identifiera vad du har förlorat och kanske hjälpa dig att få dessa filer tillbaka . Instruktioner Review, Skapa lista över raderade filer
1
Ladda ned och installera Sleuth Kit ( TSK ) med din Linux- distributionens pakethanteringssystem eller från kommandoraden genom att skriva : " sudo apt - get install sleuthkit " ( eller motsvarande kommando för din version av Linux ) .
p Om Sleuth Kit är inte tillgänglig från dina databaser , kan du hämta det från Sleuth Kit hemsida och installera den med de medföljande anvisningarna .
Sida 2
Identifiera den partition eller enhet du vill återställa filer från . Om du känner till monteringspunkt , är detta tillräckligt . Annars kör " mount - l " från kommandoraden för att få en lista på alla monterade enheter och deras monteringspunkter . Enheten plats ser ut ungefär som : " /dev/sdb1 . " Du behöver detta i efterföljande steg
3
Identifiera filsystemet som används av enheten . . Skriv " sudo df - T " från kommandoraden .
När du vet vilken typ filsystem , kör " FLS - f lista " för att hitta Kit sökordet Sleuth använder för att filsystemet . För fett , ext , och ufs , använd sökordet Auto Detection ha Sleuth Kit arbeta ut detaljerna
4
Skapa en logg över raderade filer genom att köra följande från kommandoraden : . " ,. sudo FLS - f -d- r- v- p > "Till exempel, ett ext3 återhämtning på /dev/sdb1 skrivande till deleted_files.txt på skrivbordet skulle se ut : " sudo FLS - f ext - d - r - v - p /dev/sdb1 > ~ /Desktop /deleted_files.txt . "
med detta kommando , berättar du FLS att hitta raderade filer ( - d ) , rekursivt visar kataloger ( - r ) , visar den fullständiga sökvägen för filerna ( - p ) , och att köra i utförligt läge ( - v ) så att du kan se vad som finns händer .
Tänk på att detta kommando kommer att skanna en hel partition , kanske så stora partitioner eller enheter tar en stund att slutföra .
5
Läs den genererade förteckningen över raderade filer . Det finns tre viktiga kolumner du bör uppmärksamma . De första visar om filen är en vanlig fil ( r ) eller en katalog ( d ) . Den andra är inoden där filen finns ( du behöver detta om du vill återställa filen ) . Den sista kolumnen är namnet på den borttagna filen .
6
( tillval ) Återskapa filer . När du har en lista över raderade filer och deras motsvarande inoder , kan du återställa enskilda filer med ICAT verktyg medföljer Sleuth Kit
bara skriva följande på kommandoraden : . " Sudo ICAT - f < filsystemet nyckelordet > - r- s >
