Identifique todos os arquivos e pastas excluídos na linha de comando

Navegue suas respostas
1

Eu tenho uma imagem ext3 na qual estou trabalhando para a escola. Eu estou tentando identificar todos os arquivos e pastas excluídos, incluindo os nomes de caminho completo e os números de inode desses arquivos / pastas. Acredito que preciso usar o comando blkcat mas não tenho certeza dos parâmetros que preciso?

    
por user240079 26.01.2014 / 16:43

2 respostas

1

Você pode falar com os mortos?

Quase o mesmo acontece com os arquivos apagados ... Quase impossível. Quando um arquivo é excluído, simplesmente desaparece. Na maioria dos sistemas, isso não é registrado em qualquer lugar.

Se você estiver usando rm na linha de comando, o sistema geralmente não pede confirmação antes de remover arquivos.

Se você excluiu arquivos usando uma ferramenta GUI, eles ainda podem estar em algum tipo de "lixeira". Depende do que você está usando para um ambiente de área de trabalho.

Se você estiver interessado em recuperar arquivos excluídos, talvez as Perguntas e respostas a seguir possam ajudá-lo:

No entanto, existe uma ferramenta chamada inotifywait , que pode ser usada para ouvir eventos que estão acontecendo em um diretório especificado. Para observar arquivos e pastas excluídos, use o seguinte comando: 

inotifywait -m -r -e delete dir_name > deleted_files.log

para registrar os arquivos excluídos do diretório dir_name no arquivo deleted_files.log .

Para instalar o inotifywait , use: 

sudo apt-get install inotify-tools

Fonte: Como encontrar quais arquivos e pastas foram deletados recentemente no Linux?

    
por Radu Rădeanu 26.01.2014 / 17:54
0

Parece que você está falando sobre as ferramentas forenses do The Sleuth Kit (TKS) . Existe um pacote sleuthkit que está disponível no repositório padrão do Ubuntu, então seu primeiro passo seria ter certeza de que está instalado. Provavelmente, a ferramenta fls é um ponto de partida melhor do que blkcat : 

DESCRIPTION
       fls lists the files and directory names in the image  and  can  display
       file  names of recently deleted files for the directory using the given
       inode.  If the inode argument is not given, the  inode  value  for  the
       root directory is used. For example, on an NTFS file system it would be
       5 and on a Ext3 file system it would be 2.

Depois disso, eu realmente não posso ajudar, mas há um wiki on-line, e este artigo Por que recuperar um arquivo ext3 excluído é difícil você deve começar.

    
por steeldriver 26.01.2014 / 18:59
posso instalar várias distribuições do Ubuntu de uma só vez? Como personalizar o Ubuntu com opções extras de ubiquidade para o usuário?