安装Scalpel(文件系统恢复工具)在Linux中恢复已删除的文件/文件夹

很多时候,碰巧我们意外或误按 “Shift + Delete”的文件。 通过人性必须使用' 移+ Del键 ',而不是只使用“ 删除 ”选项的习惯。 我实际上有这个事件几天回来。 我正在处理一个项目,并将我的工作文件保存在一个目录中。 该目录中有许多不需要的文件,需要永久删除。 所以我开始逐一删除它们。 虽然删除这些文件,我不小心按下“ 转移删除 ”我的重要文件,之一。该文件从我的目录永久删除。我想知道如何恢复删除的文件,没有任何线索做什么。我几乎花了很多时间恢复文件,但没有运气。

Scalpel恢复工具

了解一点技术知识,我知道有关文件系统和 硬盘驱动器的工作原理。 当您意外删除文件时,该文件的内容不会从您的计算机中删除。 它只是从数据库文件夹中删除,您不能看到文件到目录,但它仍然保留在您的硬盘驱动器中的某个位置。 基本上系统有一个列表指针,指向存储设备上的块仍然有数据。 除非使用新文件覆盖,否则数据不会从块存储设备中删除。 在这一点上的看法我发布了我已删除的文件可能仍然保留在 硬盘上的一个未编入索引区域的某个地方。但是,建议您在发现已删除任何重要文件后立即卸载设备。卸载可帮助您防止阻止的文件被新文件覆盖。 在这种情况下,我不想重写这些数据,因此我更喜欢搜索硬盘驱动器,而不加载它。 通常情况下在 Windows中,我们得到吨的第三方工具来恢复丢失的数据,但在 Linux的只有少数。 然而,我使用 Ubuntu作为操作系统,这是非常难以找到恢复丢失文件的工具。 在我的研究我知道“ 手术刀 ”,通过整个硬盘驱动器上运行,并恢复丢失的文件的工具。 我安装并成功恢复了丢失的文件用 手术刀工具的帮助。这是真的了不起的工具,我必须说。 这也可能发生在你身上。所以我想和我分享我的经验。在这篇文章中,我将告诉你如何使用scalpel工具的帮助恢复已删除的文件。所以这里我们去。

什么是Scalpel工具?

手术刀LinuxMac操作系统的开源文件系统恢复。该工具访问块数据库存储,并从中识别已删除的文件,并立即恢复它们。除了文件恢复它也是有用的数字取证调查。

如何安装Scalpel在Debian / Ubuntu和Linux Mint

要通过从桌面做 “CTRL + ALT + T”安装手术刀,打开终端,运行以下命令。
$ sudo apt-get install scalpel
示例输出
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
youcl@youcl-Latitude-D630:~$

在RHEL / CentOS和Fedora中安装Scalpel

若要安装手术刀恢复工具,你需要先 启用EPEL软件库 。 一旦启用,你可以做“ Yum ”进行安装,如图所示。
# yum install scalpel
示例输出
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.01link.hk
* epel: mirror.nus.edu.sg
* epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
==========================================================================================================================================================
Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
scalpel                i686            2.0-1.el6               epel                    50 k
Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)
Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : scalpel-2.0-1.el6.i686							1/1 
Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 
Installed:
scalpel.i686 0:2.0-1.el6                                                                                                                                
Complete!
一旦安装了手术刀,您需要进行文本编辑。默认情况下手术刀工具有 在“/ etc”目录下自己的配置文件和完整路径是 “/etc/scalpel/scalpel.conf”“/etc/scalpel.conf”。 你可以看到,一切都注释掉 (#)。所以在运行scalpel之前,您需要取消注释需要恢复的文件格式。但是取消注释整个文件是耗时的,并会产生一个巨大的错误结果。 让说,例如我想只恢复 名为.jpg文件,所以干脆取消注释 名为.jpg文件部分手术刀配置文件。
# GIF and JPG files (very common)
gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9
转到终端并键入以下语法。该' 的/ dev / SDA1'是从该文件已被删除的设备的位置。
$ sudo scalpel /dev/sda1-o output
“-o”开关指示输出目录,要恢复删除的文件。在运行任何命令之前,请确保此目录为空,否则它将给您一个错误。上述命令的输出为。
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target "/dev/sda1"
Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA
正如您所看到的,手术刀现在正在执行其过程,并且需要一段时间来恢复已删除的文件,具体取决于您尝试扫描的磁盘空间和机器的速度。 我建议大家有仅使用 删除 ,而不是 “Shift + Delete键 ”的习惯。因为所说的预防总是比治疗好。
赞(52) 打赏
未经允许不得转载:优客志 » 系统运维
分享到:

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏