ext3grep - Debian および Ubuntu で削除されたファイルを回復する

ext3grep は、EXT3 ファイルシステム上のファイルを回復するための単純なプログラムです。これは、フォレンジック調査に役立つ調査および回復ツールです。パーティションに存在していたファイルに関する情報を表示したり、誤って削除したファイルを回復したりするのに役立ちます。

この記事では、Debian および Ubuntu で ext3grep を使用して、ext3 ファイルシステム上で誤って削除されたファイルを回復するのに役立つ便利なトリックを紹介します。

テストシナリオ

• デバイス名: /dev/sdb1
• マウント ポイント: /mnt/TEST_DRIVE
• ファイルシステムの種類: EXT3

ext3grep ツールを使用して削除されたファイルを回復する方法

削除されたファイルを回復するには、まず、図に示すように、APT パッケージ マネージャーを使用して Ubuntu または Debian システムにext3grep プログラムをインストールする必要があります。

sudo apt install ext3grep

インストールしたら、ext3 ファイルシステム上で削除されたファイルを回復する方法を説明します。

まず、ext3 パーティション/デバイスのマウント ポイント /mnt/TEST_DRIVE (この場合は /dev/sdb1) にテスト目的でいくつかのファイルを作成します。

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

ここで、file5 という 1 つのファイルを ext3 パーティションのマウント ポイント /mnt/TEST_DRIVE から削除します。

sudo rm file5

次に、 対象のパーティションでext3grep プログラムを使用して削除されたファイルを復元する方法を見てみましょう。まず、上記のマウント ポイントからアンマウントする必要があります (アンマウント操作を機能させるには、cd コマンドを使用して別のディレクトリに切り替える必要があることに注意してください。そうしないと、umount コマンドでエラー「<」が表示されます)そのターゲットはビジーです」）。

cd
$sudo umount /mnt/TEST_DRIVE

ファイルの 1 つを削除したので (これは誤って削除されたものと仮定します)、デバイス内に存在していたすべてのファイルを表示するには、--dump-name オプションを実行します ( を置き換えます) >/dev/sdb1 を実際のデバイス名に置き換えます)。

ext3grep --dump-name /dev/sdb1

上記の削除されたファイル、つまり file5 を復元するには、示されているように --restore-all オプションを使用します。

ext3grep --restore-all /dev/sdb1

復元プロセスが完了すると、復元されたすべてのファイルはディレクトリ RESTORED_FILES に書き込まれます。削除されたファイルが復元されたかどうかを確認できます。

cd RESTORED_FILES
ls 

回復する特定のファイル、たとえば file5 というファイルを指定することもできます (または ext3 デバイス内のファイルのフル パスを指定します)。

ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

さらに、一定期間内であればファイルを復元することもできます。たとえば、次のように正しい日付と時間枠を指定するだけです。

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

詳細については、ext3grep のマニュアル ページを参照してください。

man ext3grep

それでおしまい！ ext3grep は、ext3 ファイルシステム上の削除されたファイルを調査して回復するためのシンプルで便利なツールです。これは、Linux 上のファイルを回復するための最良のプログラムの 1 つです。ご質問や共有したいご意見がございましたら、以下のフィードバック フォームからお問い合わせください。