Linux 下的文件恢复工具

只是 我发现IBM的developerWorks 就是一座神的殿堂。
常用的 Linux 文件删除恢复工具有 debugfs、ext3grep、extundelete 等。本文以 Ubuntu 12.04 为例。
foremost 和 extundelete
Foremost 支持恢复如下格式:avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip。
首先安装软件包
#apt-get install foremost
恢复单个类型文件
删除一个 USB(/dev/sdba1)存储器中一个 png 文件然后使用 formost 恢复。
#rm -f /dev/sdb1/photo1.png
#foremost -t png -i /dev/sdb1

恢复完成后会在当前目录建立一个 output 目录,在 output 目录下会建立 png 子目录下会包括所有可以恢复的 png 格式的文件。
需要说明的是 png 子目录下会包括的 png 格式的文件名称已经改变,另外 output 目录下的 audit.txt 文件是恢复文件列表。
恢复多个类型文件
#foremost -v -T -t doc,pdf,jpg,gif -i /dev/sda6 -o /media/disk/Recover
恢复完成后会在当前目录建立一个 output 目录,在 output 目录下会建立四个子目录(/doc,/pdf,/jpg,/gif),分别包括四种类型文件。另外 output 目录下的 audit.txt 文件是恢复文件列表。

使用 scalpel
使用的那些没有日志机制的旧有文件系统,可以使用 scalpel 工具。scalpel 是一种快速文件恢复工具,它通过读取文件系统的数据库来恢复文件。
使用 scalpel 工具之前,首先要修改配置文件: /etc/scalpel/scalpel.conf。
例如用户要恢复所有删除 pdf 文件,那么要在/etc/scalpel/scalpel.conf 把包括 pdf 文件格式的两行之前的# 去掉。
[...]
pdf y 5000000 %PDF %EOF\x0d REVERSE
pdf y 5000000 %PDF %EOF\x0a REVERSE
[...]

然后保存文件。
下面看看使用方法
# scalpel /dev/sdb1 -o /RECOVERY/
其中/dev/sdb1 是目标驱动器,/RECOVERY/ 是恢复文件存储目录。目录下的 audit.txt 文件是恢复文件列表。

使用 Linux 文件恢复工具

发表评论或回复

*选项为必填项,您的电子邮件地址不会被公开。

*
*