Website-Suche

ext3grep – Gelöschte Dateien unter Debian und Ubuntu wiederherstellen


ext3grep ist ein einfaches Programm zum Wiederherstellen von Dateien auf einem EXT3-Dateisystem. Es handelt sich um ein Untersuchungs- und Wiederherstellungstool, das bei forensischen Untersuchungen nützlich ist. Es hilft, Informationen über Dateien anzuzeigen, die auf einer Partition vorhanden waren, und auch versehentlich gelöschte Dateien wiederherzustellen.

In diesem Artikel zeigen wir einen nützlichen Trick, der Ihnen hilft, versehentlich gelöschte Dateien auf ext3-Dateisystemen mithilfe von ext3grep in Debian und Ubuntu wiederherzustellen.

Testszenario

  • Gerätename: /dev/sdb1
  • Einhängepunkt: /mnt/TEST_DRIVE
  • Dateisystemtyp: EXT3

So stellen Sie gelöschte Dateien mit dem ext3grep-Tool wieder her

Um gelöschte Dateien wiederherzustellen, müssen Sie zunächst wie gezeigt das Programm ext3grep mit dem APT-Paketmanager auf Ihrem Ubuntu- oder Debian-System installieren.

sudo apt install ext3grep

Nach der Installation zeigen wir Ihnen nun, wie Sie gelöschte Dateien auf einem ext3-Dateisystem wiederherstellen.

Zuerst erstellen wir einige Dateien zu Testzwecken im Mount-Punkt /mnt/TEST_DRIVE der ext3-Partition/des ext3-Geräts, d. h. in diesem Fall /dev/sdb1.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Jetzt entfernen wir eine Datei namens file5 vom Einhängepunkt /mnt/TEST_DRIVE der ext3-Partition.

sudo rm file5

Jetzt werden wir sehen, wie man gelöschte Dateien mit dem Programm ext3grep auf der Zielpartition wiederherstellt. Zuerst müssen wir es vom Mount-Punkt oben aushängen (beachten Sie, dass Sie den Befehl cd verwenden müssen, um in ein anderes Verzeichnis zu wechseln, damit der Unmount-Vorgang funktioniert, andernfalls zeigt der Befehl umount den Fehler „<das Ziel ist beschäftigt“).

cd
$sudo umount /mnt/TEST_DRIVE

Nachdem wir nun eine der Dateien gelöscht haben (was vermutlich aus Versehen geschehen ist), führen Sie zum Anzeigen aller auf dem Gerät vorhandenen Dateien die Option --dump-name aus (ersetzen Sie /dev/sdb1 mit dem tatsächlichen Gerätenamen).

ext3grep --dump-name /dev/sdb1

Um die oben gelöschte Datei, d. h. file5, wiederherzustellen, verwenden wir die Option --restore-all wie gezeigt.

ext3grep --restore-all /dev/sdb1

Sobald der Wiederherstellungsprozess abgeschlossen ist, werden alle wiederhergestellten Dateien in das Verzeichnis RESTORED_FILES geschrieben. Sie können überprüfen, ob die gelöschte Datei wiederhergestellt wurde oder nicht.

cd RESTORED_FILES
ls 

Wir können eine bestimmte Datei zur Wiederherstellung angeben, zum Beispiel die Datei mit dem Namen file5 (oder den vollständigen Pfad der Datei innerhalb des ext3-Geräts angeben).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

Darüber hinaus können wir Dateien auch innerhalb eines vorgegebenen Zeitraums wiederherstellen. Geben Sie beispielsweise einfach das richtige Datum und den richtigen Zeitrahmen an, wie gezeigt.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Weitere Informationen finden Sie auf der Manpage zu ext3grep.

man ext3grep

Das ist es! ext3grep ist ein einfaches und nützliches Tool zum Untersuchen und Wiederherstellen gelöschter Dateien in einem ext3-Dateisystem. Es ist eines der besten Programme zum Wiederherstellen von Dateien unter Linux. Wenn Sie Fragen oder Gedanken zum Teilen haben, erreichen Sie uns über das unten stehende Feedback-Formular.