A autópsia me serviu bem para esse propósito.
debugfs também pode ser útil
A outra abordagem, que eu suspeito não ser possível desde que você está perguntando, é restaurar de seus backups;)
Eu tenho uma unidade que estava usando o sistema de arquivos ext3. Disseram-me que cerca de 10Gb de dados foram excluídos da unidade (provavelmente via rm ). A unidade está atualmente montada como somente leitura para preservar todos os dados. Alguém sabe de um método para restaurar alguns ou todos os dados? Além disso, se isso ajudar, o sistema operacional é o Fedora.
Também me disseram que os dados são principalmente ASCII para um código fonte e arquivos Matlab.
Eu finalmente consegui recuperar os dados e com os meios mais simples de todos os tempos! Depois de semanas tentando e não conseguindo trazer de volta muitos dos dados, trouxe alguém hoje para dar uma olhada e oferecer sugestões, ele simplesmente cd d no diretório e tudo estava lá! Nunca foi perdido em primeiro lugar !!! Escusado será dizer que me sinto realmente idiota agora, mas aprendi bastante com todo este fiasco.
De qualquer forma, enquanto eu procurava por soluções forenses de dados, descobri que a autópsia, ou mais especificamente, o SleuthKit foi o mais útil. Então, vou aceitar isso como a resposta final.
Eu também gostaria de observar para qualquer um que se deparar com isso mais tarde que a resposta mais votada (atualmente) por sekenre também foi útil e eu aprendi muito, mas no final isso não ajudou com o tipo (muitos e alguns sendo muito grandes) dos arquivos com os quais eu estava lidando.
Então, agradeço a todos vocês que deram sugestões e desejam tudo de bom para você!
Experimente este tutorial
Basicamente, você pode usar a ferramenta de linha de comando ext3grep para pesquisar por seções do sistema de arquivos. Eu não tentei isso sozinho YMMV.
Se você tiver um departamento na equipe que realiza análise forense, eu falaria com eles para orientação. Eles podem ter ferramentas mais especializadas que podem estar disponíveis para você. Usamos o enCase em grande parte do nosso trabalho e tivemos uma excelente sorte na recuperação de arquivos excluídos de todos os tipos de sistemas de arquivos. A autópsia também é uma excelente ferramenta gratuita para fazer o mesmo tipo de trabalho, embora minha experiência com ele seja bastante deficiente.
Há várias ferramentas de recuperação de arquivos forenses disponíveis. Um deles é O mais importante .
Já que essa pergunta foi mencionada recentemente, vou colocar outra sugestão aqui: fazer uma cópia simples do sistema de arquivos (pode até ser feito com a caixa online, só precisa de espaço) e descobrir algum texto simples que estava definitivamente em os arquivos apagados (com código fonte que deve ser perfeitamente possível). em seguida, strings e grep a imagem do sistema de arquivos ... primitivo, mas trabalhou para mim às vezes:)
Tags data-recovery ext3