ext3grep - Debian 및 Ubuntu에서 삭제된 파일 복구

ext3grep은 EXT3 파일 시스템에서 파일을 복구하기 위한 간단한 프로그램입니다. 포렌식 조사에 유용한 조사 및 복구 도구입니다. 파티션에 존재하는 파일에 대한 정보를 표시하고 실수로 삭제된 파일을 복구하는 데 도움이 됩니다.

이 기사에서는 데비안과 우분투에서 ext3grep을 사용하여 ext3 파일 시스템에서 실수로 삭제된 파일을 복구하는 데 도움이 되는 유용한 방법을 설명합니다.

테스트 시나리오

• 기기 이름: /dev/sdb1
• 마운트 지점: /mnt/TEST_DRIVE
• 파일 시스템 유형: EXT3

ext3grep 도구를 사용하여 삭제된 파일을 복구하는 방법

삭제된 파일을 복구하려면 먼저 그림과 같이 APT 패키지 관리자를 사용하여 Ubuntu 또는 Debian 시스템에 ext3grep 프로그램을 설치해야 합니다.

sudo apt install ext3grep

설치가 완료되면 이제 ext3 파일 시스템에서 삭제된 파일을 복구하는 방법을 보여드리겠습니다.

먼저, ext3 파티션/장치의 마운트 지점 /mnt/TEST_DRIVE, 즉 이 경우에는 /dev/sdb1에 테스트 목적으로 일부 파일을 생성합니다.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

이제 ext3 파티션의 마운트 지점 /mnt/TEST_DRIVE에서 file5라는 파일 하나를 제거하겠습니다.

sudo rm file5

이제 대상 파티션에서 ext3grep 프로그램을 사용하여 삭제된 파일을 복구하는 방법을 살펴보겠습니다. 먼저, 위의 마운트 지점에서 마운트를 해제해야 합니다(마운트 해제 작업이 작동하려면 cd 명령을 사용하여 다른 디렉토리로 전환해야 합니다. 그렇지 않으면 umount 명령이 "< 오류를 표시합니다. Strong>해당 대상은 통화 중입니다').

cd
$sudo umount /mnt/TEST_DRIVE

이제 파일 중 하나를 삭제했으므로(실수로 삭제된 것으로 가정함) 장치에 존재하는 모든 파일을 보려면 --dump-name 옵션을 실행합니다(/dev/sdb1을 실제 장치 이름으로 바꿈).

ext3grep --dump-name /dev/sdb1

위에서 삭제된 파일(예: file5)을 복구하려면 표시된 대로 --restore-all 옵션을 사용합니다.

ext3grep --restore-all /dev/sdb1

복구 프로세스가 완료되면 복구된 모든 파일은 RESTORED_FILES 디렉터리에 기록되며, 삭제된 파일이 복구되었는지 여부를 확인할 수 있습니다.

cd RESTORED_FILES
ls 

예를 들어 file5라는 파일과 같이 복구할 특정 파일을 지정할 수 있습니다(또는 ext3 장치 내에서 파일의 전체 경로를 지정).

ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1 

또한, 일정 기간 내에 파일을 복원할 수도 있습니다. 예를 들어, 표시된 대로 올바른 날짜와 기간을 지정하면 됩니다.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

자세한 내용은 ext3grep 매뉴얼 페이지를 참조하십시오.

man ext3grep

그게 다야! ext3grep은 ext3 파일 시스템에서 삭제된 파일을 조사하고 복구하는 간단하고 유용한 도구입니다. Linux에서 파일을 복구하는 최고의 프로그램 중 하나입니다. 질문이 있거나 공유하고 싶은 생각이 있으면 아래 피드백 양식을 통해 문의해 주세요.