Você pode usar o utilitário debugfs
debugfs is a simple to use RAM-based file system specially designed for debugging purposes
Primeiro, execute debugfs /dev/sda2 no seu terminal (substituindo /dev/sda2 pela sua própria partição).
Uma vez no modo de depuração, você pode usar o comando lsdel para listar os inodes correspondentes aos arquivos excluídos.
When files are removed in linux they are only un-linked but their inodes (addresses in the disk where the file is actually present) are not removed
Para obter caminhos desses arquivos excluídos, você pode usar debugfs -R "ncheck 320236" substituindo o número pelo seu inode em particular.
Inode Pathname
320236 /path/to/file
A partir daqui, você também pode inspecionar o conteúdo de arquivos excluídos com cat . (NOTA: Você também pode se recuperar daqui, se necessário).
Referência aqui .
Para precauções futuras, use Ferramentas Inotify . então você pode usar o comando inotifywait para ouvir os eventos que acontecem no diretório especificado.
Especificamente, se você quiser assistir a arquivos e pastas excluídos, use este
inotifywait -m -r -e delete directory_name
e registre esta saída em algum arquivo.
E também recomendo que você procure iwatch .