Come ottenere un elenco di file eliminati in Linux

January 31

Come ottenere un elenco di file eliminati in Linux


Ad un certo punto, tutti elimina accidentalmente la foto sbagliata fuori la scheda di memoria della fotocamera, perde i file importanti da una pen drive, o si svuota il cestino appena prima di rendersi conto che c'era qualcosa di importante in esso. Anche se non tutto eliminato è recuperabile, liberamente disponibili forensi Linux strumenti quali il Sleuth Kit può aiutare a identificare ciò che hai perso e forse aiutare a ottenere quei file indietro.

istruzione

Crea elenco dei file eliminati

1 Scaricare e installare The Sleuth Kit (TSK) utilizzando il sistema di gestione dei pacchetti della vostra distribuzione Linux o dalla riga di comando digitando: "sudo apt-get install sleuthkit" (o il comando equivalente per la versione di Linux).

Se Sleuth Kit non è disponibile dal repository, è possibile scaricarlo dal kit home page di Sleuth e installarlo seguendo le istruzioni fornite.

2 Identificare la partizione o dispositivo che si desidera recuperare i file da. Se si conosce il punto di montaggio, questo sarà sufficiente. In caso contrario, eseguire "montare -l" dalla riga di comando per ottenere un elenco di tutti i dispositivi montati ed i loro punti di montaggio. La posizione del dispositivo avrà un aspetto simile: "/ dev / sdb1." Avrete bisogno di questo nei passaggi successivi.

3 Identificare il file system utilizzato dal dispositivo. Digitare "sudo df -T <posizione del dispositivo>" dalla riga di comando.

Quando si conosce il tipo di file system, eseguire "elenco fls -f" per trovare la parola chiave Kit Sleuth utilizza per questo file system. Per il grasso, ext, e file system UFS, utilizzare la parola chiave di rilevamento automatico di avere Sleuth Kit funzionato le specifiche.

4 Genera un log dei file cancellati eseguendo il seguente dalla riga di comando: "sudo fls -f <file system parola chiave> -d -r -v -p <device / partizione posizione>> <file di scrivere a>." Ad esempio, un recupero ext3 / dev / sdb1 scrivendo al deleted_files.txt sul desktop sarà simile: "sudo fls -f ext -d -r -v -p / dev / sdb1> ~ / Desktop / deleted_files.txt. "

Con questo comando, si indica FLS per trovare file cancellati (-D), in modo ricorsivo visualizzare le directory (-r), mostrare il percorso completo dei file (-P), e per l'esecuzione in modalità dettagliata (-v) in modo da poter vedere cosa succede.

Tenete a mente che questo comando esegue la scansione di un intero partizione, quindi grandi partizioni o dispositivi possono richiedere un certo tempo per essere completato.

5 Leggi l'elenco generato dei file eliminati. Ci sono tre colonne importanti si dovrebbe prestare attenzione. La prima mostra se il file è un file regolare (R) o una directory (d). Il secondo è il inode in cui si trova il file (avrete bisogno di questo se si desidera ripristinare il file). L'ultima colonna è il nome del file eliminato.

6 (Opzionale) Recuperare i file. Una volta che avete un elenco di file eliminati e le loro corrispondenti inode, è possibile ripristinare singoli file utilizzando lo strumento icat inclusi con Sleuth Kit.

È sufficiente digitare quanto segue dalla riga di comando: "sudo icat -f <parola chiave del file system> -r -s <posizione del dispositivo / partizione> <inode>> <output di destinazione>."

La destinazione di uscita è dove il file recuperato verrà scritto. Esso dovrebbe includere sia la directory (che dovrebbe essere su un dispositivo o una partizione diversa da quella contenente il file eliminato) e il nuovo nome, che può o non può essere lo stesso del file eliminato.

Consigli e avvertenze

  • Se avete intenzione di fare di più ampie attività forensi, considerare la possibilità di una immagine speculare della partizione o dispositivo che si desidera lavorare e lavorare con l'immagine di eliminare qualsiasi rischio di perdita di dati. Il comando dd è estremamente utile per la creazione di immagini disco.