Em algum momento , todo mundo acidentalmente exclui a foto errada fora do cartão de memória da câmera , perde arquivos importantes de um pen drive , ou esvazia a lixeira apenas antes de perceber que havia algo importante nesse processo. Embora nem tudo apagado é recuperável , disponíveis gratuitamente forenses ferramentas do Linux , como The Sleuth Kit pode ajudar a identificar o que você perdeu e talvez ajudá-lo a obter os arquivos de volta . Instruções
Criar lista de arquivos excluídos
1

baixar e instalar o Kit Sleuth ( TSK ), utilizando sistema de gerenciamento de pacotes da sua distribuição Linux ou a partir da linha de comando , digitando: "sudo apt- get install sleuthkit "(ou o comando equivalente à sua versão do Linux)

. Se Kit Sleuth não está disponível a partir de seus repositórios , você pode baixá-lo a partir da homepage Kit Sleuth e instalá-lo usando as instruções fornecidas.
Página 2

Identificar a partição ou dispositivo que você deseja recuperar arquivos de . Se você sabe que o ponto de montagem , isto será suficiente . Caso contrário , execute " mount- l" a partir da linha de comando para obter uma lista de todos os dispositivos montados e seus pontos de montagem. A localização do dispositivo será algo parecido com : " . /Dev/sdb1 " Você vai precisar disso nas etapas subseqüentes
3

Identificar o sistema de arquivos a ser usado pelo dispositivo . . Digite " sudo df -T " a partir da linha de comando.

Uma vez que você sabe o tipo de sistema de arquivos , execute " lista fls -f " para encontrar a palavra-chave Sleuth Kit usa para isso sistema de arquivos. Para gordura , ext , e arquivos UFS sistemas , use a palavra-chave Detecção Automática de ter Kit Sleuth trabalhar as especificidades
4

Gerar um log de ​​arquivos excluídos , executando o seguinte na linha de comando : ". ; sudo fls -f sistema -d -r -v- p > "Por exemplo, uma recuperação em ext3 /dev/sdb1 escrita . para deleted_files.txt no ambiente de trabalho seria algo como: " . sudo fls -f ext- d -r -v -p /dev/sdb1 > ~ /desktop /deleted_files.txt "

Com esta comando , você está dizendo fls para encontrar arquivos apagados (-D) , de forma recursiva exibir diretórios (-r) , mostrar o caminho completo dos arquivos ( - p ) , e executado no modo verbose (- v) para que você possa ver o que está acontecendo.

Tenha em mente que este comando fará a varredura de uma partição inteira , por isso, grandes partições ou dispositivos pode demorar um pouco para ser concluído.
5

Leia a lista gerada de arquivos excluídos. Existem três colunas importantes que você deve prestar atenção. O primeiro mostra se o arquivo é um arquivo regular ( r) ou um diretório ( d ) . O segundo é o inode onde existe o arquivo ( você vai precisar disso , se você deseja desfazer a exclusão do arquivo). A última coluna é o nome do arquivo que foi excluído .
6

(Opcional) Recupere arquivos . Uma vez que você tem uma lista de arquivos apagados e seus inodes correspondentes , você pode recuperar arquivos individuais usando a ferramenta ICAT incluído no Kit Sleuth

Basta digitar o seguinte na linha de comando : . "Sudo ICAT -f -r- s > " .

O destino de saída é onde o arquivo recuperado vai ser gravado. Ela deve incluir tanto o diretório (que deve estar em um dispositivo ou partição diferente do que contém o arquivo excluído ) eo novo nome de arquivo , o que pode ou não ser o mesmo que o arquivo excluído .
< Br >