ext3grep – Gelöschte Dateien unter Debian und Ubuntu wiederherstellen
ext3grep ist ein einfaches Programm zum Wiederherstellen von Dateien auf einem EXT3-Dateisystem. Es handelt sich um ein Untersuchungs- und Wiederherstellungstool, das bei forensischen Untersuchungen nützlich ist. Es hilft, Informationen über Dateien anzuzeigen, die auf einer Partition vorhanden waren, und auch versehentlich gelöschte Dateien wiederherzustellen.
In diesem Artikel zeigen wir einen nützlichen Trick, der Ihnen hilft, versehentlich gelöschte Dateien auf ext3-Dateisystemen mithilfe von ext3grep in Debian und Ubuntu wiederherzustellen.
Testszenario
- Gerätename: /dev/sdb1
- Einhängepunkt: /mnt/TEST_DRIVE
- Dateisystemtyp: EXT3
So stellen Sie gelöschte Dateien mit dem ext3grep-Tool wieder her
Um gelöschte Dateien wiederherzustellen, müssen Sie zunächst wie gezeigt das Programm ext3grep mit dem APT-Paketmanager auf Ihrem Ubuntu- oder Debian-System installieren.
sudo apt install ext3grep
Nach der Installation zeigen wir Ihnen nun, wie Sie gelöschte Dateien auf einem ext3-Dateisystem wiederherstellen.
Zuerst erstellen wir einige Dateien zu Testzwecken im Mount-Punkt /mnt/TEST_DRIVE
der ext3-Partition/des ext3-Geräts, d. h. in diesem Fall /dev/sdb1
.
cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l
Jetzt entfernen wir eine Datei namens file5
vom Einhängepunkt /mnt/TEST_DRIVE
der ext3-Partition.
sudo rm file5
Jetzt werden wir sehen, wie man gelöschte Dateien mit dem Programm ext3grep auf der Zielpartition wiederherstellt. Zuerst müssen wir es vom Mount-Punkt oben aushängen (beachten Sie, dass Sie den Befehl cd verwenden müssen, um in ein anderes Verzeichnis zu wechseln, damit der Unmount-Vorgang funktioniert, andernfalls zeigt der Befehl umount den Fehler „<das Ziel ist beschäftigt“).
cd
$sudo umount /mnt/TEST_DRIVE
Nachdem wir nun eine der Dateien gelöscht haben (was vermutlich aus Versehen geschehen ist), führen Sie zum Anzeigen aller auf dem Gerät vorhandenen Dateien die Option --dump-name
aus (ersetzen Sie /dev/sdb1
mit dem tatsächlichen Gerätenamen).
ext3grep --dump-name /dev/sdb1
Um die oben gelöschte Datei, d. h. file5
, wiederherzustellen, verwenden wir die Option --restore-all
wie gezeigt.
ext3grep --restore-all /dev/sdb1
Sobald der Wiederherstellungsprozess abgeschlossen ist, werden alle wiederhergestellten Dateien in das Verzeichnis RESTORED_FILES geschrieben. Sie können überprüfen, ob die gelöschte Datei wiederhergestellt wurde oder nicht.
cd RESTORED_FILES
ls
Wir können eine bestimmte Datei zur Wiederherstellung angeben, zum Beispiel die Datei mit dem Namen file5
(oder den vollständigen Pfad der Datei innerhalb des ext3-Geräts angeben).
ext3grep --restore-file file5 /dev/sdb1
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1
Darüber hinaus können wir Dateien auch innerhalb eines vorgegebenen Zeitraums wiederherstellen. Geben Sie beispielsweise einfach das richtige Datum und den richtigen Zeitrahmen an, wie gezeigt.
ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1
Weitere Informationen finden Sie auf der Manpage zu ext3grep.
man ext3grep
Das ist es! ext3grep ist ein einfaches und nützliches Tool zum Untersuchen und Wiederherstellen gelöschter Dateien in einem ext3-Dateisystem. Es ist eines der besten Programme zum Wiederherstellen von Dateien unter Linux. Wenn Sie Fragen oder Gedanken zum Teilen haben, erreichen Sie uns über das unten stehende Feedback-Formular.