À un certain moment , tout le monde supprime accidentellement le mauvais photo hors de la carte mémoire d'un appareil photo , perd fichiers importants à partir d'un lecteur de pouce , ou vide la poubelle juste avant de réaliser qu'il y avait quelque chose d'important en elle. Bien que pas tout effacé est récupérable, librement disponibles des outils de médecine légale Linux tels que The Sleuth Kit peuvent vous aider à identifier ce que vous avez perdu et peut-être vous aider à obtenir ces fichiers . Instructions
Créer Liste des fichiers supprimés
1
télécharger et installer le Sleuth Kit (TSK ) en utilisant le système de gestion de paquets de votre distribution Linux ou depuis la ligne de commande en tapant : "sudo apt- get install sleuthkit "(ou la commande équivalente pour votre version de Linux).
Si Sleuth Kit n'est pas disponible à partir de vos dépôts , vous pouvez le télécharger sur le site de Sleuth Kit et installez-le en suivant les instructions fournies.
Page 2
identifier la partition ou le périphérique que vous souhaitez récupérer les fichiers. Si vous connaissez le point de montage , ce sera suffisant. Sinon , exécutez "mount -l" à partir de la ligne de commande pour obtenir une liste de tous les périphériques installés et leurs points de montage. L' emplacement de l'appareil ressemblera à quelque chose comme: " /dev/sdb1 . " Vous en aurez besoin dans les étapes suivantes
3
identifier le système de fichier utilisé par l'appareil. . Tapez " sudo df -T " à partir de la ligne de commande .
Une fois que vous connaissez le type de système de fichiers , exécutez " liste FLS- f" pour trouver le Sleuth Kit de mots clés utilise pour cela le système de fichiers . Pour la graisse , poste et les systèmes de fichiers UFS, utiliser le mot clé de détection automatique pour que Sleuth Kit travailler sur les détails
4
générer un journal des fichiers supprimés en exécutant la commande à partir de la ligne de commande : . " ; . sudo système -d- r -v -p > «Par exemple, une reprise ext3 sur /dev/sdb1 écriture à deleted_files.txt sur le bureau ressemblerait à ceci: "sudo FLS- f ext- d- r -v -p /dev/sdb1 > ~ /Desktop /deleted_files.txt . "
Avec cette commande , vous dites FLS pour trouver les fichiers supprimés ( -d) , afficher de manière récursive des répertoires ( -r) , montrer le chemin d'accès complet des fichiers (-p) , et de fonctionner en mode verbose (-v) afin que vous puissiez voir ce qui est passe.
Gardez à l'esprit que cette commande va scanner une partition entière , donc de grandes partitions ou dispositifs peuvent prendre un certain temps à compléter .
5
Lire la liste généré des fichiers supprimés. Il ya trois colonnes importantes que vous devez prêter attention. La première montre si le fichier est un fichier régulier (r) ou un répertoire ( d) . La seconde est l'inode où le fichier existe (vous aurez besoin si vous souhaitez restaurer le fichier ) . La dernière colonne est le nom du fichier supprimé .
6
(Facultatif) Récupérer des fichiers . Une fois que vous avez une liste de fichiers supprimés et leurs inodes correspondant , vous pouvez récupérer des fichiers individuels à l'aide de l'outil ICAT inclus avec Sleuth Kit
suffit de tapez la commande suivante à partir de la ligne de commande : . "Sudo ICAT -f < mot-clé du système de fichiers > -r -s >
