Mengembalikan File Yang Terhapus pada Debian dan Ubuntu dengan ext3grep
ext3grep adalah program sederhana untuk memulihkan file pada sistem file EXT3. Ini adalah alat investigasi dan pemulihan yang berguna dalam investigasi forensik. Ini membantu untuk menampilkan informasi tentang file yang ada pada partisi dan juga memulihkan file yang terhapus secara tidak sengaja.
Pada artikel ini, kami akan menunjukkan trik yang berguna, yang akan membantu Anda memulihkan file yang terhapus secara tidak sengaja pada sistem file ext3 menggunakan ext3grep di Debian dan Ubuntu.
Testing Scenario
- Nama Device: /dev/sdb1
- Mount point: /mnt/TEST_DRIVE
- Filesystem type: EXT3
Cara Recover Files Terhapus Dengan Tool ext3grep
Untuk memulihkan file yang dihapus, pertama-tama Anda harus menginstal program ext3grep di sistem Ubuntu atau Debian menggunakan manajer paket APT seperti yang ditunjukkan.
$ sudo apt install ext3grep
Setelah terinstal, sekarang kami akan menunjukkan cara memulihkan file yang dihapus pada sistem file ext3.
Pertama, kami akan membuat beberapa file untuk tujuan pengujian di mount point /mnt/TEST_DRIVE
partisi ext3 /device i.e. /dev/sdb1
.
$ cd /mnt/TEST_DRIVE $ sudo touch files[1-5] $ ls -l
Sekarang coba hapus file file5
dari /mnt/TEST_DRIVE
.
$ sudo rm file5
Sekarang kita akan melihat bagaimana memulihkan file yang dihapus menggunakan program ext3grep pada partisi yang ditargetkan. Pertama, kita perlu meng-unmount dari titik mount di atas (perhatikan bahwa Anda harus menggunakan perintah cd untuk beralih ke direktori lain agar operasi unmount berfungsi, jika tidak, umount akan menampilkan error “that target is busy“).
$ cd $ sudo umount /mnt/TEST_DRIVE
Sekarang kami telah menghapus salah satu file (yang kami anggap telah dilakukan secara tidak sengaja), untuk melihat semua file yang ada di perangkat, jalankan --dump-name
option (replace /dev/sdb1
dengan nama perangkat yang sebenarnya).
$ ext3grep --dump-name /dev/sdb1
Untuk mengembalikan file i.e. file5
, kami menggunakan --restore-all
.
$ ext3grep --restore-all /dev/sdb1
Setelah proses pemulihan selesai, semua file yang dipulihkan akan ditulis ke direktori RESTORED_FILES, Anda dapat memeriksa apakah file yang dihapus sudah dipulihkan atau tidak.
$ cd RESTORED_FILES $ ls
Kami dapat menentukan file tertentu untuk dipulihkan, misalnya file bernama file5 (atau menentukan path lengkap file dalam perangkat ext3).
$ ext3grep --restore-file file5 /dev/sdb1 OR $ ext3grep --restore-file /path/to/some/file /dev/sdb1
Selain itu, kami juga dapat memulihkan file dalam periode waktu tertentu. Misalnya, cukup tentukan kerangka tanggal dan waktu yang benar seperti yang ditunjukkan.
$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1
Untuk informasi lebih lanjut, lihat halaman manual ext3grep.
$ man ext3grep
Itu dia! ext3grep adalah alat sederhana dan berguna untuk menyelidiki dan memulihkan file yang dihapus pada sistem file ext3. Ini adalah salah satu program terbaik untuk memulihkan file di Linux. Jika Anda memiliki pertanyaan atau pemikiran untuk dibagikan, hubungi kami melalui formulir umpan balik di bawah ini.
Di tulis oleh: admin