ext3grep-Recuperar archivos borrados en Debian y Ubuntu

ext3grep-Recuperar archivos borrados en Debian y Ubuntu

ext3grep es un programa simple para recuperar archivos en un sistema de archivos EXT3. Es una herramienta de investigación y recuperación que es útil en investigaciones forenses. Ayuda a mostrar información sobre los archivos que existían en una partición y también a recuperar archivos borrados accidentalmente.

En este artículo, demostraremos un truco útil que le ayudará a recuperar archivos borrados accidentalmente en sistemas de archivos ext3 usando ext3grep en Debian y Ubuntu.

Escenario de prueba

  • Nombre del dispositivo: /dev/sdb1
  • Punto de montaje: /mnt/TEST_DRIVE.
  • Tipo de sistema de archivos: EXT3

Cómo recuperar archivos borrados con la herramienta ext3grep

Para recuperar archivos borrados archivos, primero necesita instalar el programa ext3grep. en su sistema Ubuntu o Debian usando el administrador de paquetes APT como se muestra.

$ sudo apt install ext3grep

Una vez instalado, ahora demostraremos cómo recuperar archivos eliminados en un sistema de archivos ext3.

Primero, crearemos algunos archivos con fines de prueba en el punto de montaje/mnt/TEST_DRIVE de la partición/dispositivo ext3, es decir,/dev/sdb1 en este caso.

$ cd/mnt/TEST_DRIVE $ sudo archivos táctiles [1-5] $ ls-l Crear Archivos en el punto de montaje  Crear archivos en el punto de montaje Crear archivos en el punto de montaje freestar.config.enabled_slots.push ( locationName: “tecmint_incontent”, slotId: “tecmint_incontent”);

Ahora eliminaremos un archivo llamado file5 del punto de montaje/mnt/TEST_DRIVE de la partición ext3.

$ sudo rm file5  Eliminar una F ile en Linux  Eliminar un archivo en Linux Eliminar un archivo en Linux

Ahora veremos cómo recuperar el archivo eliminado usando el programa ext3grep. en la partición de destino. Primero, debemos desmontarlo del punto de montaje anterior (tenga en cuenta que debe usar el comando cd para cambiar a otro directorio para que funcione la operación de desmontaje; de ​​lo contrario, el comando umount. mostrará el error “ ese objetivo está ocupado. “).

$ cd $ sudo umount/mnt/TEST_DRIVE

Ahora que hemos eliminado uno de los archivos (que asumiremos que se hizo accidentalmente), ver todos los archivos que existían en el dispositivo, ejecutar la opción–dump-name (reemplazar/dev/sdb1 con el nombre real del dispositivo).

$ ext3grep–dump-name/dev/sdb1  Ver archivos en la partición  Ver archivos en la partición Ver archivos en la partición

Para recuperar lo anterior archivo eliminado, es decir, archivo5, usamos la opción–restore-all como se muestra.

$ ext3grep–restore-all/dev/sdb1

Una vez que se completa el proceso de recuperación, todos los archivos recuperados se escribirán en el directorio RESTORED_FILES. puede verificar si el archivo eliminado se recupera o no.

$ cd RESTORED_FILES $ ls  Recuperar un archivo eliminado Archivo  Recuperar un archivo eliminado Recuperar un archivo eliminado

Podemos especificar una fi archivo para recuperar, por ejemplo, el archivo llamado file5 (o especificar la ruta completa del archivo dentro del dispositivo ext3).

$ ext3grep–restore-file file5/dev/sdb1 O $ ext3grep–restore-file/ruta/a/algún/archivo/dev/sdb1

Además, también podemos restaurar archivos dentro de un período de tiempo determinado. Por ejemplo, simplemente especifique la fecha y el marco de tiempo correctos como se muestra.

$ ext3grep–restore-all–after `date-d ‘1 de enero de 2019 9:00 am’ ‘+% s’`–before` date-d ‘5 de enero de 2019 00:00 am’ ‘+% s’`/dev/sdb1

Para obtener más información, consulte la página de manual de ext3grep.

$ man ext3grep

¡Eso es! ext3grep. es una herramienta sencilla y útil para investigar y recuperar archivos eliminados en un sistema de archivos ext3. Es uno de los mejores programas para recuperar archivos en Linux. Si tiene alguna pregunta o algún comentario que compartir, comuníquese con nosotros a través del formulario de comentarios a continuación.