web-dev-qa-db-fra.com

Identifiez tous les fichiers et dossiers supprimés dans la ligne de commande

J'ai une image ext3 sur laquelle je travaille pour l'école. J'essaie d'identifier tous les fichiers et dossiers supprimés, y compris les noms de chemin d'accès complets et les numéros d'inode de ces fichiers/dossiers. Je crois que je dois utiliser la commande blkcat mais je ne suis pas sûr des paramètres dont j'ai besoin?

command-lineext3
1
user240079

Pouvez-vous parler avec les morts?

enter image description here

Presque la même chose se produit avec les fichiers supprimés ... Presque impossible. Lorsqu'un fichier est supprimé, il disparaît tout simplement. Sur la plupart des systèmes, cela n'est enregistré nulle part.

Si vous utilisez rm depuis la ligne de commande, le système ne demande généralement pas de confirmation avant de supprimer des fichiers.

Si vous avez supprimé des fichiers à l'aide d'un outil graphique, ils peuvent toujours se trouver dans une sorte de "poubelle". Cela dépend de ce que vous utilisez pour un environnement de bureau.

Si vous souhaitez récupérer des fichiers supprimés, les questions-réponses suivantes peuvent peut-être vous aider:

Néanmoins, il existe un outil appelé inotifywait qui peut être utilisé pour écouter les événements se produisant dans un répertoire spécifié. Pour rechercher les fichiers et dossiers supprimés, utilisez la commande suivante:

inotifywait -m -r -e delete dir_name > deleted_files.log

pour enregistrer les fichiers supprimés de dir_name répertoire dans deleted_files.log fichier.

Pour installer inotifywait, utilisez:

Sudo apt-get install inotify-tools

Source: Comment trouver quels fichiers et dossiers ont été supprimés récemment sous Linux?

1
Radu Rădeanu

Il semble que vous parliez des outils médico-légaux de The Sleuth Kit (TKS) . Il existe un package sleuthkit qui est disponible à partir du référentiel Ubuntu standard, donc votre première étape serait de vous assurer qu'il est installé. L'outil fls est probablement un meilleur point de départ que blkcat:

DESCRIPTION
       fls lists the files and directory names in the image  and  can  display
       file  names of recently deleted files for the directory using the given
       inode.  If the inode argument is not given, the  inode  value  for  the
       root directory is used. For example, on an NTFS file system it would be
       5 and on a Ext3 file system it would be 2.

Après cela, je ne peux vraiment pas vous aider, mais il existe un wiki en ligne, et cet article Pourquoi la récupération d'un fichier Ext3 supprimé est difficile devrait vous aider à démarrer.

0
steeldriver