使用Linux文件恢复工具

　　上面标记为 Deleted 是已经删除的文件或目录

　　开始恢复文件

　　默认恢复到当前目录下的 RECOVERED_FILES 目录中去。

　　# extundelete /dev/sdd1 --restore-file del1.txt

　　如果恢复一个目录

　　# extundelete /dev/sdd1 --restore-directory /backupdate/deldate

　　恢复所有文件

　　# extundelete /dev/sdd1 --restore-all

　　获取恢复文件校验码，对比检测是否恢复成功

　　# md5sum RECOVERED_FILES/ del1.txt

　　66fb6627dbaa37721048e4549db3224d RECOVERED_FILES/del1.txt

　　查看校验码与之前的是否完全一致。

　　应用总结：笔者在现实使用过程中发现 extundelete 还是有很大的不完整性,基于整个磁盘的恢复功能较为强大,基于目录和文件的恢复还不够强大。在 Linux 下误删除了文件，当发现数据丢失以后，不要进行任何操作，保留现场。要想办法把数据丢失的文件系统经过 dd 命令或者 AIR(Automated Image Restore，http://cdnetworks-kr-2.dl.sourceforge.net/ )工具到另外的存储空间上作为最原始的备份，以便数据恢复专家现场诊断恢复。

　　使用 scalpel

　　以上介绍的工具主要使用在 ext3 和 ext4 的文件系统，如果用户使用的那些没有日志机制的旧有文件系统，可以使用 scalpel 工具。scalpel 是一种快速文件恢复工具，它通过读取文件系统的数据库来恢复文件。它是独立于文件系统的。

　　用户可以在http://www.digitalforensicssolutions.com/Scalpel/ 下载源代码编译安装。下面看看使用方法：

　　使用 scalpel 工具之前，首先要修改配置文件： /etc/scalpel/scalpel.conf。

　　例如用户要恢复所有删除 pdf 文件，那么要在/etc/scalpel/scalpel.conf 把包括 pdf 文件格式的两行之前的# 去掉。

　　[...]

　　pdf y 5000000 %PDF %EOFx0d REVERSE

　　pdf y 5000000 %PDF %EOFx0a REVERSE

　　[...]

　　然后保存文件。

　　下面看看使用方法

　　# scalpel /dev/sdb1 -o /RECOVERY/

　　其中/dev/sdb1 是目标驱动器，/RECOVERY/ 是恢复文件存储目录。目录下的 audit.txt 文件是恢复文件列表。

　　使用字符终端工具 testdisk 和 phtorec

　　testdisk 简介

　　testdisk 是分区表恢复、raid 恢复、分区恢复的开源免费工具(testdisk 支持如下文件系统: FAT12/FAT16/FAT32/NTFS/ext2/ext3/ext4)。testdisk 支持的功能: 修复分区表, 恢复已删除分区，用 FAT32 备份表恢复启动扇区，重建 FAT12/FAT16/FAT32 启动扇区，修复 FAT 表，重建 NTFS 启动扇区，用备份表恢复 NTFS 启动扇区，用 mft 镜像表(mft mirror)修复 mft 表，查找 ext2/ext3 备份的 superblock，从 FAT,NTFS 及 ext2 文件系统恢复删除文件，从已删除的 FAT,NTFS 及 ext2/ext3 分区复制文件。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  下一页