Pesquisa de site

ext3grep - Recuperar arquivos excluídos no Debian e Ubuntu

ext3grep é um programa simples para recuperar arquivos em um sistema de arquivos EXT3. É uma ferramenta de investigação e recuperação útil em investigações forenses. Ajuda a mostrar informações sobre arquivos que existiam em uma partição e também a recuperar arquivos excluídos acidentalmente.

Neste artigo, demonstraremos um truque útil que o ajudará a recuperar arquivos excluídos acidentalmente em sistemas de arquivos ext3 usando ext3grep no Debian e Ubuntu.

Cenário de teste

  • Nome do dispositivo: /dev/sdb1
  • Ponto de montagem: /mnt/TEST_DRIVE
  • Tipo de sistema de arquivos: EXT3

Como recuperar arquivos excluídos usando a ferramenta ext3grep

Para recuperar arquivos excluídos, primeiro você precisa instalar o programa ext3grep em seu sistema Ubuntu ou Debian usando o gerenciador de pacotes APT, conforme mostrado.

sudo apt install ext3grep

Depois de instalado, agora demonstraremos como recuperar arquivos excluídos em um sistema de arquivos ext3.

Primeiro, criaremos alguns arquivos para fins de teste no ponto de montagem /mnt/TEST_DRIVE da partição/dispositivo ext3, ou seja, /dev/sdb1 neste caso.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Agora iremos remover um arquivo chamado file5 do ponto de montagem /mnt/TEST_DRIVE da partição ext3.

sudo rm file5

Agora veremos como recuperar arquivos excluídos usando o programa ext3grep na partição de destino. Primeiro, precisamos desmontá-lo do ponto de montagem acima (observe que você deve usar o comando cd para mudar para outro diretório para que a operação de desmontagem funcione, caso contrário, o comando umount mostrará o erro “esse alvo está ocupado“).

cd
$sudo umount /mnt/TEST_DRIVE

Agora que excluímos um dos arquivos (o que presumiremos que foi feito acidentalmente), para visualizar todos os arquivos que existiam no dispositivo, execute a opção --dump-name (substitua /dev/sdb1 pelo nome real do dispositivo).

ext3grep --dump-name /dev/sdb1

Para recuperar o arquivo excluído acima, ou seja, file5, usamos a opção --restore-all conforme mostrado.

ext3grep --restore-all /dev/sdb1

Assim que o processo de recuperação for concluído, todos os arquivos recuperados serão gravados no diretório RESTORED_FILES, você pode verificar se o arquivo excluído foi recuperado ou não.

cd RESTORED_FILES
ls

Podemos especificar um arquivo específico para recuperar, por exemplo, o arquivo chamado file5 (ou especificar o caminho completo do arquivo dentro do dispositivo ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Além disso, também podemos restaurar arquivos dentro de um determinado período de tempo. Por exemplo, basta especificar a data e o horário corretos conforme mostrado.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Para obter mais informações, consulte a página man do ext3grep.

man ext3grep

É isso! ext3grep é uma ferramenta simples e útil para investigar e recuperar arquivos excluídos em um sistema de arquivos ext3. É um dos melhores programas para recuperar arquivos no Linux. Se você tiver alguma dúvida ou opinião para compartilhar, entre em contato conosco por meio do formulário de feedback abaixo.