Ad un certo punto , tutti elimina accidentalmente la foto sbagliata off scheda di memoria di una macchina fotografica , perde il file importanti da una pen drive , o si svuota il cestino prima di rendersi conto che c'era qualcosa di importante in esso . Anche se non tutto cancellato è recuperabile , liberamente disponibili strumenti forensi Linux come The Sleuth Kit può aiutare a identificare ciò che hai perso e forse aiutarlo ad ottenere quei file indietro .
Istruzioni Crea lista di file eliminati
1
scaricare e installare The Sleuth Kit ( TSK ) utilizzando il sistema di gestione dei pacchetti della vostra distribuzione Linux o dalla riga di comando digitando : "sudo apt-get install sleuthkit "(o il comando equivalente per la versione di Linux) .
Se Sleuth Kit non è disponibile presso i repository , è possibile scaricarlo dal sito Sleuth Kit e installarlo seguendo le istruzioni fornite .
2
Identificare la partizione o il dispositivo che si desidera recuperare i file da . Se si conosce il punto di montaggio , questo sarà sufficiente . In caso contrario , eseguire " mount -l" da riga di comando per ottenere un elenco di tutti i dispositivi montati e dei loro punti di montaggio . La posizione del dispositivo sarà simile a : " /dev/sdb1 ". Avrete bisogno di questo in fasi successive
3
identificare il file system utilizzato dal dispositivo . . Digitare " sudo df - T " dalla riga di comando .
Quando si conosce il tipo di file system , eseguire " elenco fls -f" per trovare il Sleuth Kit parola chiave utilizza per quella File system. Per il grasso , ext, e file system UFS, utilizzare la parola chiave Auto Detection avere Sleuth Kit risolve le specifiche
4
generare un log di file eliminati eseguendo il seguente dalla riga di comando : ". , . sudo sistema file> fls -f keyword> - d -r -v - p > "Per esempio , un recupero ext3 su /dev/sdb1 scrittura per deleted_files.txt sul Desktop sarà simile: "sudo fls -f ext- d -r - v- p /dev/sdb1 > ~ /Desktop /deleted_files.txt . "
Con questa comando , si indica fls per trovare i file eliminati ( - d ) , ricorsivamente visualizzare le directory ( - r) , mostrare il percorso completo dei file ( - p) , e per l'esecuzione in modalità verbosa ( -v ), in modo da poter vedere cosa c'è accadendo .
Tenete presente che questo comando esegue la scansione di un'intera partizione , così grandi partizioni o dispositivi possono richiedere del tempo per essere completato.
5
Leggi l' elenco generato dei file eliminati . Ci sono tre colonne importanti che si dovrebbe prestare attenzione. La prima indica se il file è un file regolare ( r) o una directory ( d ) . Il secondo è l' inode in cui si trova il file ( avrete bisogno di questo se si desidera ripristinare il file ) . L'ultima colonna rappresenta il nome del file eliminato .
6
( opzionale ) Recuperare i file . Una volta che si dispone di un elenco di file eliminati e le loro corrispondenti inode , è possibile ripristinare singoli file utilizzando lo strumento ICAT incluso con Sleuth Kit
Basta digitare quanto segue dalla riga di comando : . "Sudo icat -f < parola chiave del file system > -r - s >
