삭제 된 파일을 복원하기 리눅스에서

특별 감사:이 문서는 가능하게 지원으로 리눅스에서는 전문 연구소

그것은 일반적인 지식을 제거하면 파일에*유닉스 파일시스템,그것은이라이 영원히 사라지고,당신이 얻을 수 없습니다. 이 아니라 정확한 사실 더 이상이고,나는 100%확신 다는 사실이었지만,전체적으로 별도의 논의한다. *Nix 를 포함한 모든 파일 시스템에서 파일을 복구하는 몇 가지 효과적인 방법이 있습니다. 이 기사에서는 무엇보다도 법의학 도구를 사용하는 방법 중 하나를 다룹니다. 맞습니다,우리는 파일을 복원하기위한”프로”방법 중 하나로 전환해야합니다. 맨 먼저 머리글,바닥 글 및 데이터 구조를 기반으로 특정 파일을 복원 할 수 있습니다. 무엇보다도 법 집행 기관에서 삭제 된 파일을 복원하는 데 사용하는 법의학 도구이지만 누구나 자유롭게 사용할 수 있습니다.

최초로 복원이 다소 제한된 파일의 목록을 포함하는 문서 유형,압축 파일,사운드 파일 그래픽 이미지를,C 소스,올레 파일에 어떤 영화 형식입니다. 이러한 유형의 파일은 법 집행 기관의 대상이 가장 많고 불법 행위와 관련된 파일입니다.

설치

Red Hat,CentOS,페도라 사용자가를 먼저 추가 RepoForge 저장소 및 설치합니다:

$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/ rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm$ sudo yum –y install foremost

이것도 설치가 필요한 종속성을 위해 무엇보다도.

On Debian-based systems,설치가 쉽습니다:

$ sudo apt install foremost

참고:에서 우분투 18.04 시스템,

apt install foremost

작동하지 않았다,그래서 저는 이 문제를 해결을 수행하여 다음:

$ wget http://launchpadlibrarian.net/205815060/ foremost_1.5.7-6_amd64.deb$ sudo dpkg –i foremost_1.5.7-6_amd64.deb

사용

는 방법을 보여 주는 제일 작동,제거(삭제)하나의 파일(MAZ1.jpg)내 집에서 디렉토리:

$ rm MAZ1.jpg

실행하기 전에 당신은 무엇보다도,당신이 있어야 하는 별도의 파티션 또는 외부 디스크를 사용한 파일 복구합니다. 그렇게하지 않으면 복구 된 파일을 덮어 쓸 가능성이 있으며 아무 것도 복구 할 수 없습니다. 이것은 또한 당신은 왜 시도해야 한 빨리 복구 실현할(혹은 파일의 소유자현)는 파일이 있었고 그릇되게 제거됩니다. 매우 바쁜 파일 시스템은 또한에서 사용 가능한 디스크 공간을 생성할 수 있습니다 결과가 없지만,그것은 시도 가치가있다.

다음 명령에서/dev/sda2 인 삭제 된 파일이 포함 된 파티션에서 맨 먼저 실행됩니다. 출력 위치로 지정/복구합니다. 내/복구 디렉토리는 실제로 파일 복구를 위해 특별히 설치 한 추가 디스크(1GB)입니다.

$ sudo foremost –t jpg /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

이제 두 개의 파일이 포함 된/recover 디렉토리를 탐색 할 수 있습니다:감사.txt 및 jpg 디렉토리. JPG 디렉토리에서/dev/sda2 에서 복구 된 모든 JPG 유형 파일의 목록을 찾습니다. 내 경우에,거기에 244 의,그들은 불행한 일이기 때문에 일반적으로 나는 각 파일을 찾기 위해 개별적으로 하나가 나에 관심이 있기는 회복세를 보이고 있습니다. 이번에는 2.4MB 인 파일의 대략적인 크기를 알고 있습니다. Jpg 디렉토리는 루트에 의해서만 실행 가능하기 때문에 sudo 를 사용하여 이러한 파일을 나열해야하므로 일반 사용자가 cd 를 넣을 수 없습니다(목록 1).

목록 1

목록은 파일과 sudo

$ sudo ls –lS /recover/jpgls -lStotal 44096-rw-r--r-- 1 root root 9659197 Sep 3 17:24 15564800.jpg-rw-r--r-- 1 root root 3613391 Sep 3 17:24 15613952.jpg-rw-r--r-- 1 root root 3563772 Sep 3 17:24 15593472.jpg-rw-r--r-- 1 root root 3085681 Sep 3 17:24 15556608.jpg-rw-r--r-- 1 root root 2975375 Sep 3 17:24 15585280.jpg-rw-r--r-- 1 root root 2880578 Sep 3 17:24 15540224.jpg-rw-r--r-- 1 root root 2794666 Sep 3 17:24 15622144.jpg-rw-r--r-- 1 root root 2463714 Sep 3 17:24 19415032.jpg-rw-r--r-- 1 root root 2313724 Sep 3 17:24 15601664.jpg-rw-r--r-- 1 root root 1977539 Sep 3 17:24 15609856.jpg

파일 19415032.jpg 는,관심의 하나이며 복구되었습니다. 이 파일을 원래 위치로 다시 복사하고 원래 파일 소유자가 액세스 할 수 있도록 권한을 변경할 수 있습니다.그런 다음 문서 파일 인 ATP 를 제거했습니다.doc 및 복구 시도:

$ rm ATP.doc$ sudo foremost –t doc /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

그러나 이번에는/recover 아래에 doc 디렉토리가 없었습니다. 감사 파일 출력은 목록 2 에 표시됩니다.

Listing2

감사 파일로 출력

$ sudo cat /recover/audit.txtForemost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Tue Sep 3 19:27:07 2019Invocation: foremost -t doc /dev/sda2 -o /recoverOutput directory: /recoverConfiguration file: /etc/foremost.conf------------------------------------------------------------------File: /dev/sda2Start: Tue Sep 3 19:27:07 2019Length: 9 GB (10734272512 bytes)Num Name (bs=512) Size File Offset CommentFinish: Tue Sep 3 19:27:52 20190 FILES EXTRACTED ------------------------------------------------------------------Foremost finished at Tue Sep 3 19:27:52 2019

그래서,당신은 무엇보다 항상 성공하지 못에 파일을 복구를 사용하여 특정 파일 형식입니다. 하지만,어떤 파일 종류는 더 나은 복구에서 OLE 형식으로 Microsoft Office 와 같은 파일:

$ sudo foremost –t ole /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

이번에는 복구는 성공적이었다. 대략적인 파일 크기를 아는 것은 성공적으로 복구 된 관심있는 파일을 결정하는 데 큰 도움이됩니다. 내 파일의 크기는 약 6mb 였고 추출 된 39 개의 파일 중 하나만 해당 프로필에 적합합니다:19611640.올레. 파일의 이름을 ATP 로 변경했습니다.doc 와 파일이 실제로 복구되었음을 알기 위해 열었습니다.

추가 정보

사용법 및 예제에 대한 자세한 내용은 SourceForge 및 맨 맨 페이지를 확인하십시오. 내 예제는 일반적이지만 매우 유용합니다. Verbose 모드의 경우-v 와 같이 사용할 수있는 몇 가지 추가 스위치(옵션)가 권장됩니다. 또한 단순히-w 스위치로 파일을 추출하지 않고 감사를 수행 할 수 있습니다.또한/etc/맨 먼저 사용자 정의 할 수 있습니다.복구를 위해 다른 파일 형식을 포함하는 conf 파일. 구성 파일에 포함 된 많은 것들은 기본 복구 가능한 파일입니다. 현재 항목을 템플릿으로 사용하여 구성 파일에 새 항목을 추가할 수 있습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 항목은 *(으)로 표시합니다