У меня есть диск с файловой системой ext3. Мне сказали, что с диска было удалено около 10 ГБ данных (вероятно, через rm). В настоящее время диск смонтирован как доступный только для чтения, чтобы сохранить все данные. Кто-нибудь знает, как восстановить некоторые или все данные? Также, если это поможет, ОС была Fedora.
Мне также сказали, что данные в основном представляют собой исходный код ASCII fortan и файлы Matlab.
Наконец-то мне удалось вернуть данные, причем самыми простыми средствами! После нескольких недель попыток вернуть большую часть данных, но безуспешно, я сегодня пригласил кого-то взглянуть на них и внести предложения, он просто cdЗашел в каталог и все было там! Во-первых, он никогда не был потерян !!! Излишне говорить, что я чувствую действительно тупой сейчас, но я многому научился из этого фиаско.
В любом случае, просматривая решения для криминалистики данных, я обнаружил, что вскрытие, а точнее, SleuthKit был самым полезным. Так что я приму это как окончательный ответ.
Я также хотел бы отметить для всех, кто столкнется с этим позже, что ответ sekenre, получивший наибольшее количество голосов (в настоящее время), также был полезен, и я многому научился, но в конечном итоге он не помог с типом (очень многие, а некоторые очень большие) файлов, с которыми я имел дело.
Так что спасибо всем, кто предоставил предложения, и желаю вам всего наилучшего!
Попробуй это руководство
В основном вы можете использовать инструмент командной строки ext3grep для поиска по разделам файловой системы. Я сам не пробовал YMMV.
вскрытие хорошо послужило мне для этой цели.
debugfs также могут помочь
Другой подход, который, как я подозреваю, невозможен, поскольку вы спрашиваете, - это восстановление из ваших резервных копий;)
Если у вас есть штат, который занимается компьютерной криминалистикой, я хотел бы поговорить с ними за советом. У них могут быть более специализированные инструменты, которые могут быть вам доступны. Мы используем enCase для большей части нашей работы, и нам очень повезло с восстановлением удаленных файлов из всех типов файловых систем. Вскрытие также является отличным бесплатным инструментом для выполнения той же работы, хотя у меня довольно мало опыта в этом.
Доступен ряд инструментов для судебного восстановления файлов. Один из них является Самый главный.
Поскольку этот вопрос был задан недавно, я поставлю здесь еще одно предложение: сделайте простую копию файловой системы в формате dd (можно даже сделать это с помощью окна онлайн, просто нужно место) и найдите какой-нибудь открытый текст, который определенно был в удаленных файлах (с исходным кодом, который должен быть вполне возможен). затем строки и grep образ файловой системы ... примитивный, но иногда работал у меня :)