Como recuperar os diretórios excluídos mais recentemente na partição NTFS

Navegue suas respostas
5

No Nautilus no Ubuntu 12.04, eu acidentalmente selecionei vários diretórios em uma partição e deletei-os de uma só vez (infelizmente, eu os deletei por Shift + Delete para que eles não permaneçam na Lixeira). Ainda não escrevi novos dados para essa partição desde a exclusão. Eu me pergunto como posso tentar recuperá-los? Observe que a partição é NTFS, compartilhada entre o Windows 7 e o Ubuntu 12.04.

A seguir está um software diferente que eu experimentei até agora.

  1. Eu também tentei usar o Sleuthkit, mas não consigo descobrir como usá-lo.

    Eu tenho rodado sudo fls -f ntfs -d -r -p /dev/sda3 > ~/deleted_files.txt por quase uma semana no meu ntfs de 110 GB e 96% de uso partição. Ainda não terminou a execução (não sei quando será), e o arquivo ~/deleted_files.txt ainda está vazio. Todo o meu trabalho foi parado desde que eu não me atrevo a escrever quaisquer dados para a partição.

    Agora eu me pergunto se meu uso de sleuthkit é o caminho mais rápido para identificar os diretórios e arquivos excluídos mais recentemente no meu caso?

  2. Eu instalei o TestDisk 6.13 via apt-get install, e segui link para recuperar os diretórios excluídos e os arquivos neles. Mas o que é mostrado pelo TestDisk não é o arquivo excluído / diretório nomes como mostrado na foto no link , mas arquivos nomeados por inode números: 

    TestDisk 6.13, Data Recovery Utility, November 2011
Christophe GRENIER <[email protected]>
http://www.cgsecurity.org
 3 P HPFS - NTFS           9291  38 28 23650 187 25  230686720 [Data]
Deleted files

>inode_13285                           30-Jan-2011 20:55     29427
 inode_13285:Zone.Identifier           30-Jan-2011 20:55        26
 inode_164258                          11-Aug-2011 13:16      2993
 inode_307016                          12-Feb-2011 09:34      1808
 inode_307017                          12-Feb-2011 09:34     10254
 inode_307018                          12-Feb-2011 09:34     13155
 inode_307019                          12-Feb-2011 09:34      7586
 inode_307020                          12-Feb-2011 09:34      7344
 inode_307021                          12-Feb-2011 09:34      6943
 inode_307022                          12-Feb-2011 09:34      6081
 inode_307023                          12-Feb-2011 09:34     24043
 inode_314965                          12-Feb-2011 09:36    112947
 inode_314983                          12-Feb-2011 09:36     23581
 inode_314984                          12-Feb-2011 09:36      8486
 inode_314985                          12-Feb-2011 09:36       158
 inode_314986                          12-Feb-2011 09:36        45
                                                   Next
Use : to select the current file, a to select/deselect all files,
    C to copy the selected files, c to copy the current file, q to quit

    Quando eu clico em a e, em seguida, em C para selecionar e copiar todos os itens selecionados arquivos, os arquivos chamados inode_xxxxxx serão copiados para um diretório Eu especifico.

    Além disso, não sei o significado da data e hora de cada arquivo mostrado pelo TestDisk. Significa a data e hora da eliminação ou a última atualizar data e hora antes da exclusão? (Observe a data mais recente e tempo mostrado pelo TestDisk é 30-Jul-2012 20:53, que não é hoje quando a exclusão acidental aconteceu.)

    Como posso descobrir quais arquivos são meus últimos excluídos, e como posso recuperá-los?

    Posso descobrir e recuperar meus diretórios excluídos mais recentemente em vez de apenas arquivos?

  3. Também estou curioso para saber se esses dois links para o How-to realmente funcionam?

    link , grep -b 'search-text' /dev/partition > file.txt é usado para pesquisar para os arquivos excluídos.

    link , o comando "Isdel" é usado.

Que outro software posso experimentar além do TestDisk e do Sleuthkit?

    
por Tim 06.08.2012 / 22:57

2 respostas

1

As ferramentas de recuperação de dados no Linux são muito estranhas e raras entre outras que funcionam em sistemas de arquivos NTFS. Então, se você quer uma ferramenta que recupere os meta-dados do arquivo e os apresente, caso não seja um dos propostos, o ntfsundelete, o PhotoRec (Sleuthkit) ou o TestDisk; Eu recomendaria o uso de ferramentas somente do Windows para a tarefa.

    
por 15.08.2014 / 21:08
0

Se você usar fls -r , ele passará recursivamente por todos os diretórios, o que pode não ser exatamente o que você precisa para sua meta aqui. Tente usar fls de maneira mais interativa, assim como ls . Além disso, usar mactime para processar a saída pode ser útil para navegar para diretórios / arquivos relevantes.

mactime coloca todos os arquivos no cronograma, marcando quando cada um deles foi modificado ( m ), acessado ( a ), (atributo-) alterado ( c ) ou carregado ( b ). Como os arquivos podem nascer e ser modificados em tempos separados, você verá alguns nomes de arquivos em linhas separadas.

Por exemplo, use fls -m X: /dev/sda3 | mactime -b - para obter uma listagem do diretório principal, classificada no tempo. Os arquivos excluídos são marcados com (deleted) . Você também verá muitos armazenamentos de dados de manutenção que normalmente estão ocultos no Windows Explorer.

No caso do NTFS, há uma combinação de 3 números como x-y-z designando o ID do arquivo no sistema de arquivos. Para diretórios normais, y deve ser 144 .

Use fls -m X: /dev/sda3 x-y-z | mactime -b - para obter uma listagem do diretório em que você está interessado.

A recuperação é feita de maneira semelhante usando IDs de arquivo: icat /dev/sda3 x-y-z >recovered_file

    
por 04.09.2017 / 06:14

Tags

Como ajustar campos numéricos em um arquivo de texto Grub2 incapaz de inicializar raiz criptografada