Ubuntu 12.04의 Nautilus에서는 실수로 파티션의 여러 디렉터리를 선택하고 즉시 삭제했습니다(불행히도 휴지통에 남아 있지 않도록 Shift+Delete를 통해 삭제했습니다). 삭제 이후 이 파티션에 새 데이터를 쓰지 않았습니다. 복원하려면 어떻게 해야 하는지 궁금합니다. 파티션은 NTFS이며 Windows 7과 Ubuntu 12.04 간에 공유됩니다.
다음은 지금까지 사용해 본 다른 소프트웨어입니다.
저도 Sleuthkit을 사용해 보았으나 사용법을 모르겠습니다.
sudo fls -f ntfs -d -r -p /dev/sda3 > ~/deleted_files.txt나는 거의 일주일 동안 110GB ntfs 파티션에서 96% 사용량으로 이것을 실행했습니다 . 아직 실행이 완료되지 않았으며(언제인지는 알 수 없음) 파일이~/deleted_files.txt여전히 비어 있습니다. 파티션에 데이터를 쓰는 것이 두려웠기 때문에 모든 작업이 중단되었습니다.이제 내 경우에는 sleuthkit을 사용하는 것이 최근 삭제된 디렉터리와 파일을 식별하는 가장 빠른 방법인지 궁금합니다.
apt-get install을 통해 TestDisk 6.13을 설치하고 따랐습니다. http://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk 삭제된 디렉터리와 그 안에 있는 파일을 복구합니다. 그러나 TestDisk는 그림과 같이 삭제된 파일/디렉터리 이름을 표시하지 않습니다.링크의 사진, 그러나 inode 번호로 이름이 지정된 파일은 다음과 같습니다.
TestDisk 6.13, Data Recovery Utility, November 2011 Christophe GRENIER <[email protected]> http://www.cgsecurity.org 3 P HPFS - NTFS 9291 38 28 23650 187 25 230686720 [Data] Deleted files >inode_13285 30-Jan-2011 20:55 29427 inode_13285:Zone.Identifier 30-Jan-2011 20:55 26 inode_164258 11-Aug-2011 13:16 2993 inode_307016 12-Feb-2011 09:34 1808 inode_307017 12-Feb-2011 09:34 10254 inode_307018 12-Feb-2011 09:34 13155 inode_307019 12-Feb-2011 09:34 7586 inode_307020 12-Feb-2011 09:34 7344 inode_307021 12-Feb-2011 09:34 6943 inode_307022 12-Feb-2011 09:34 6081 inode_307023 12-Feb-2011 09:34 24043 inode_314965 12-Feb-2011 09:36 112947 inode_314983 12-Feb-2011 09:36 23581 inode_314984 12-Feb-2011 09:36 8486 inode_314985 12-Feb-2011 09:36 158 inode_314986 12-Feb-2011 09:36 45 Next Use : to select the current file, a to select/deselect all files, C to copy the selected files, c to copy the current file, q to quit클릭한
a다음C선택한 모든 파일을 선택하고 복사하면 이름이 지정된 파일이inode_xxxxxx내가 지정한 디렉터리에 복사됩니다.또한 TestDisk가 각 파일에 대해 표시하는 날짜와 시간이 무엇을 의미하는지 모르겠습니다. 삭제 날짜 및 시간을 의미합니까, 아니면 삭제 전 마지막 업데이트 날짜 및 시간을 의미합니까? (TestDisk에 표시된 가장 최근 날짜와 시간은 2012년 7월 30일 20시 53분이며, 실수로 삭제가 발생한 오늘이 아닙니다.)
가장 최근에 삭제된 파일이 무엇인지 확인하고 해당 파일을 복구하려면 어떻게 해야 합니까?
파일뿐 아니라 최근 삭제된 디렉터리를 찾아서 복구할 수 있나요?
또한 이 두 가지 "방법" 링크가 실제로 작동하는지 알고 싶습니다.
존재하다 http://www.ehow.com/how_5202235_retrieve-deleted-files-linux.html,
grep -b 'search-text' /dev/partition > file.txt삭제된 파일을 검색합니다.존재하다 http://www.ehow.com/how_7517984_restore-overwriting-file-linux.html, "Isdel" 명령을 사용하세요.
TestDisk와 Sleuthkit 외에 어떤 다른 소프트웨어를 사용해 볼 수 있나요?
답변1
를 사용하면 fls -r모든 디렉터리를 재귀적으로 순회하게 되는데, 이는 목표를 달성하는 데 꼭 필요한 것이 아닐 수도 있습니다. .flslsmactime
mactime모든 파일을 타임라인에 배치하고 각 파일의 수정 시간( m), 액세스 시간( a), (속성) 변경 시간( c) 또는 생성 시간( b)을 표시합니다. 파일은 서로 다른 시간에 생성되고 수정될 수 있으므로 동일한 파일 이름 중 일부가 서로 다른 줄에 표시됩니다.
예를 들어, fls -m X: /dev/sda3 | mactime -b -시간별로 정렬된 최상위 디렉터리 목록을 얻으려는 경우입니다. 삭제된 파일은 표시됩니다 (deleted). 또한 Windows 탐색기에 숨겨져 있는 경우가 많은 유지 관리 데이터 저장소도 볼 수 있습니다.
x-y-zNTFS의 경우 파일 시스템에 지정된 파일 ID 등 3개의 숫자 조합이 있습니다 . 일반 디렉토리의 y경우 144.
fls -m X: /dev/sda3 x-y-z | mactime -b -관심 있는 디렉토리 목록을 가져오는 데 사용됩니다 .
파일 ID를 사용한 유사한 복구:icat /dev/sda3 x-y-z >recovered_file
답변2
Linux의 데이터 복구 도구는 매우 이상하며 NTFS 파일 시스템에서 실행되는 데이터 복구 도구 중에서는 드뭅니다. 따라서 제안된 ntfsundelete, PhotoRec(Sleuthkit) 또는 TestDisk 중 하나가 아닌 경우 파일의 메타데이터를 복구하고 렌더링하는 도구를 원하는 경우 해당 작업에 Windows 전용 도구를 사용하는 것이 좋습니다.