Op een bepaald moment , iedereen per ongeluk verwijdert de verkeerde foto uit de geheugenkaart van een camera , verliest belangrijke bestanden vanaf een USB-stick , of leegt de prullenbak net voor het realiseren er iets belangrijks was in het. Hoewel niet alles verwijderd is herstelbaar , kan vrij beschikbare Linux forensische tools zoals The Sleuth Kit helpen te bepalen wat je hebt verloren en misschien helpen om die bestanden terug . Instructies
Lijst creëren van verwijderde bestanden
1 Download en installeer The Sleuth Kit ( TSK ) met behulp van package management systeem van uw Linux-distributie of vanaf de commandoregel door te typen : " sudo apt - get install sleuthkit " ( of de equivalente opdracht voor uw versie van Linux ) .
Als Sleuth Kit is niet verkrijgbaar bij uw repositories , kunt u deze downloaden van The Sleuth Kit homepage en installeer het met behulp van de instructies .
Pagina 2 Identificeer de partitie of het apparaat dat u wilt bestanden te herstellen van . Als u weet dat de mount punt , zal dit voldoende zijn . Anders , run "mount - l" vanaf de opdrachtregel om een lijst van alle gemonteerde apparaten en hun mount punten te krijgen . De locatie van het apparaat zal er ongeveer zo uitzien : " /dev/sdb1 . " Je zult dit nodig hebben in de daaropvolgende stappen
3 Identificeer het bestandssysteem wordt gebruikt door het apparaat . . Type " sudo df - T " vanaf de opdrachtregel .
Als je eenmaal weet het type bestandssysteem , run " fls - f list " om het trefwoord Sleuth Kit vinden gebruikt voor die bestandssysteem . Voor vet , ext , en UFS bestandssystemen , gebruikt u de automatische detectie trefwoord om Sleuth Kit uitwerken van de details
4 Genereer een logboek van verwijderde bestanden door de volgende vanaf de opdrachtregel : . " ; . sudo fls - f - d - r- v - p > schrijven "Bijvoorbeeld , een ext3 recovery on /dev/sdb1 schrijven om deleted_files.txt op het bureaublad eruit zou zien : " sudo fls -f ext - d - r- v - p /dev/sdb1 > ~ /Desktop /deleted_files.txt . "
met deze opdracht , wordt u fls om verwijderde bestanden ( - d ) vinden vertellen , recursief directories ( - r ) tonen , tonen de volledige pad van de bestanden ( - p ) , en om te draaien in verbose mode ( - v ) , zodat je kunt zien wat er gebeurt.
Houd in gedachten dat deze opdracht een hele partitie scant , kan dus grote partities of apparaten een tijdje duren om te voltooien .
5 Lees de gegenereerde lijst met verwijderde bestanden . Er zijn drie belangrijke kolommen u op moet letten . De eerste geeft aan of het bestand is een gewone file ( r ) of een directory ( d ) . De tweede is de inode waar het bestand bestaat ( je zult deze nodig als u wilt undelete het bestand ) . In de laatste kolom is de naam van het verwijderde bestand .
6 ( optioneel ) Recover bestanden . Zodra u een lijst van verwijderde bestanden en hun bijbehorende inodes , kunt u herstellen afzonderlijke bestanden met de icat gereedschap meegeleverd met Sleuth Kit
Typ gewoon de volgende vanaf de opdrachtregel : . " Sudo icat - f < bestandssysteem trefwoord > - r- s > |
