文件恢复原理&&Linux文件恢复工具-foremost&extundelete

已于 2022-03-16 14:23:49 修改
阅读量2k 收藏 10
点赞数
分类专栏: 运维 文章标签: linux 运维 服务器
于 2022-03-16 14:22:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45699846/article/details/123525326
版权

文件恢复的原理

首先简单介绍一下 Linux 文件系统的最基本单元inode:

  • inode 译成中文就是索引节点,每个存储设备(例如硬盘)或存储设备的分区被格式化为文件系统后,应该有两部份,一部份是 inode,另一部份是 block,block 是用来存储数据用的。

  • 而 inode 呢,就是用来存储这些数据的信息,这些信息包括文件大小、属主、归属的用户组、读写权限等。

  • inode 为每个文件进行信息索引,所以就有了 inode 的数值。

  • 在 ext3 和 ext4 文件系统中,每个文件都是通过 inode 来描述其数据存放的具体位置,当文件被删除以后,inode 的数据指针部分被清零文件目录区没有太多变化。

  • 文件的读写都是通过 inode 来实现,当 inode 数据指针被清零以后,即便文件内容还在,也没有办法把文件内容组合出来

  • 当 ext3 和 ext4 文件系统中的元数据 metadata 发生变化时,相应的元数据 metadata 在日志文件会有一份拷贝。比如一个文件被删除了,它的 inode 信息会在日志文件中先保存一份,然后把要删除文件 inode 相关信息清零。

  • 这个日志文件是循环使用的,当操作过多时,删除的文件的 inode 日志记录会被新的数据替换,这就彻底丧失了根据 inode 找回数据的机会了。如果是大量文件的删除,这个日志文件会被反复循环利用多次,只留给最后删除的那些文件的恢复机会

linux 操作系统下可以使用 ls –id 或者 stat 命令来查看文件或者目录的 inode 值:

上面信息给出 cat2.jpg 文件的inode号码为:13

文件恢复工具

针对 Linux 下的 ext 文件系统来说,常用的 Linux 文件删除恢复工具有 debugfs、ext3grep、extundelete 等。

  • extundelete 是一个开源的数据恢复工具,支持 ext3、ext4 文件系统。

  • formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。这个过程通常叫做数据挖掘(data carvubg)。formost 可以分析由 dd、Safeback、Encase 等生成的镜像文件,也可以直接分析驱动器。文件头和尾可以通过配置文件设置,也可以通过命令行开关使用 formost 内建的文件类型。formost 最初是由美国空军特别调查室(Air Force Office of Special Investigations)和信息系统安全研究中心(The Center for Information Systems Security Studies and Research)开发的,现在使用 GPL 许可。Foremost 支持恢复如下格式:avi, bmp, dll, doc, exe, gif, htm, jar, jpg, mbd, mov, mpg, pdf, png, ppt, rar, rif, sdw, sx, sxc, sxi, sxw, vis, wav, wmv, xls, zip

两种命令行工具 foremost 和 extundelete 二者相比,foremost 支持的文件系统比较多(包括 ext2、 ext3 、ext4、vfat、NTFS、ufs、jfs 等)和 extundelete 支持的文件系统较少(ext3、ext4)文件系统。不过 foremost 只能支持恢复特定格式的文件。

foremost

这款工具kali20自带,其它系统安装方法请到到网上搜索

删除文件:

 rm -f cat.jpg

先确定被删除文件的所在分区(因为每个分区都有一个日志文件),我的文件在/home/kali/Desktop/下属于/,而/上挂载了设备 /dev/hda1,查询目标目录的分区:

df

恢复:

sudo foremost -v -t jpg -i /dev/sda1
# -v 打印详细信息
# -t 指定文件类型
# -i 输入流

这里直接给我把被删除的jpg文件全恢复了。。

extundelete

这款工具kali可直接使用命令sudo apt install extundelete进行安装。

要注意:恢复过程不要在误删分区进行,谨防inode.block块相互覆盖(其实使用fooremost也应该注意这个问题)

为了避免以上的问题,下面演示使用的是一个硬盘镜像文件,使用命令 sudo mount attachment.img /mnt 将其挂载到 /mnt可以看到:


取消挂载:

sudo umount /mnt

查看可恢复的文件:

sudo extundelete attachment.img --inode 2 # inode = 2即当前目录的索引节点的位置


# 恢复inode为18的文件:
sudo extundelete attachment.img --restore-inode 18
# 恢复文件名为.cat.jpg的文件:
sudo extundelete attachment.img --restore-file .cat.jpg

回复所有文件:

sudo extundelete attachment.img --restore-all

会在当前目录生成RECOVERED_FILES,恢复的文件就在里面:

参考

https://www.cnblogs.com/liuhui-xzz/p/9666868.html
https://www.yunweiku.com/thread-18915-1-1.html

Red snow
关注
专栏目录
rm -rf * extundelete,foremost恢复文件,修改rm命令.
liguangxianbin的博客
04-24 2481
摘要: 这个命令让我体会到了什么叫做一不小心就一无所有.           文件恢复原理:首先简单介绍一下Linux文件系统的最基本单元:inode。inode译成中文就是索引节点,每个存储设备(例如硬盘)或存储设备的分区被格式化为文件系统后,应该有两部份,一部份是inode,另一部份是block,block是用来存储数据用的。而inode呢,就是用来存储这些数据的信息,这些信息包括文件大小、...
extundelete
05-13
extundelete linux 恢复文件
备份恢复Linux文件系统:EXT和XFS两种文件系统的案例
shyuu的博客
08-14 971
本篇讲解备份恢复EXT和XFS文件系统的工具,包括extundelete、xfsdump和xfsrestore三种工具的详细讲解和使用方法。 包含两个不同文件系统的实验案例。
Linux文件恢复原理
cpongo55
01-16 868
转载: https://www.ibm.com/developerworks/cn/linux/1312_caoyq_linuxrestore/index.html 文件恢复原理本文要介绍的命令是通过文件系统的 inode 值(一般是 2 )来获取文件系统信息。在 ext3 和 ext4 文件系统中,每个文件都是通过...
误删文件恢复,系统启动原理,数据的存取原理(文件存储原理),文件恢复原理
Chinawash 专栏
03-20 2268
        硬盘作为最主要的存储设备却又恰恰是个人电脑中最不可靠、最脆弱的零部件,非常容易出现故障而导致数据的丢失。另外,操作系统的脆弱、病毒、误操作等问题也容易造成数据的丢失。但事实上,除了硬盘的硬件损坏所造成的数据丢失问题,大部分情况下的数据是可以恢复的,而且如果您在问题发生之前就已经建立起自己的数据恢复策略,则恢复的机率可达到95%以上。       一个已经投入使用的硬盘一般被划分为主
被删除文件恢复原理
techtracker的专栏
11-01 1659
<br />From:http://ask.koubei.com/question/1407120904402.html<br />打个通俗易懂的比方,文件在磁盘上的存储就像是一个链表,表头是文件的起始地址,整个文件并不一定是 连续的,而是一个节点一个节点的连接起来的。要访问某个文件时,只要找到表头就行了。删除文件时,其实只是把表头删除了,后面的数据并没有删除,直到下一 次进行写磁盘操作需要占用节点所在位置时,才会把相应的数据覆盖掉。数据恢复软件正是利用了这一点。所以,就算你误删了文件之后又进行了其他写
linux 文件恢复原理,Linux 恢复删除的文件
weixin_42510278的博客
05-08 512
说明Linux系统下使用rm命令删除的文件,如果没有备份,想要找回需要借助一些第三方工具(系统自带debugfs不适用于ext4磁盘)。原理是读取journal日志来恢复,若journal日志被删除或覆盖,可能导致恢复失败。debugfs使用于ext2/ext3,不适用于ext4。此处不作过多介绍。extundelete安装Ubuntuapt-get install extundeleteCent...
foremost-master-windows版
06-05
将压缩包解压缩,进入foremost-master文件,打开binary文件夹,查看到foremost.exe,复制其路径,进入cmd命令行中,输入foremost.exe,后加需要分离的文件(*需要注意,需要分离的文件,需要和foremost.exe在同一...
foremost文件分离.rar
06-22
在网络安全领域,数据恢复和取证分析是至关重要的部分,而`foremost`就是这样一款强大的开源工具,专用于文件恢复和数据提取。它可以从磁盘映像或原始设备中分离出各种类型的文件,无论这些文件是否被删除或隐藏。这...
CTF工具之foremost--windows(misc).rar
09-16
`foremost`的工作原理基于文件头和文件尾的特征来识别和恢复文件。它会扫描指定的存储介质,查找预定义或用户自定义的文件签名,这些签名代表了特定文件类型的数据结构。一旦找到匹配的文件签名,`foremost`就会将这...
foremost-master.zip
12-14
"foremost" 是一个开源的数据恢复工具,特别适用于在硬盘、内存或其他存储介质中提取已删除或隐藏的文件。 **foremost** 的主要功能是基于文件头和尾部的签名来识别并恢复各种类型的文件。它能处理多种文件类型,...
格式化为什么可以恢复? 怎么恢复?谈谈文件删除与恢复背后的原理
hyfhuang1的博客
04-27 2370
恢复格式化丢失的数据,最好的方法是使用专业的深度数据恢复软件,这些软件可以从根本上恢复丢失的数据。这意味着,在格式化之后,文件的数据将变得不可访问,因此在理论上,任何数据都可以恢复,只要数据写入磁盘的方式没有被破坏。格式化数据恢复原理是,如果数据被覆盖而不是丢失,那么恢复数据的关键是找到最早的数据写入方式,然后以此为基础进行恢复。格式化可以恢复,因为格式化只是对硬盘内的数据进行重新排列,将模块板层信息重新写入,在文件数据比特流中没有删除数据或者修改数据,因此在某些情况下可以通过格式化恢复数据。
Foremost - 恢复已删除文件的强大工具
gitblog_00005的博客
03-16 750
Foremost - 恢复已删除文件的强大工具 Foremost 是一个强大的开源工具,用于从各种类型的存储设备中恢复已删除的文件。无论您是普通用户还是专业的数据恢复专家,Foremost 都可以帮助您轻松地找到并恢复丢失的数据。 使用场景 Foremost 可以在多种情况下派上用场: 意外删除文件:如果您不小心删除了重要的文件,Foremost 可以帮助您找回它。 硬盘故障:如果您的硬盘出现故...
硬盘数据恢复的基本原理是什么 硬盘数据恢复教程
雨林谷的博客
07-24 1050
无论是电脑硬盘,还是日常办公过程中使用系统硬盘,都是由多个存储空间组成的。如果这些存储空间中的信息被删除了,那内部的文件也会跟着消失。下面,小编就以“硬盘数据恢复工具恢复原理,硬盘数据恢复教程”这两个问题为例,带大家来了解一下,如何恢复硬盘中被删除的数据和文件。当我们使用数据恢复工具对硬盘中的丢失文件进行恢复时,其运行的原理就是将内部存储的数据重新转换成可视信息,将原本提示空值的存储区重新填上新的数据,进而复原已经丢失的文件
空硬盘恢复linux,linux使用foremost恢复文件,硬盘恢复
weixin_34007888的博客
05-06 445
formost 是一个基于文件头和尾部信息以及文件的内建数据结构恢复文件的命令行工具。这个过程通常叫做数据挖掘(data carvubg)。formost 可以分析由 dd、Safeback、Encase 等生成的镜像文件,也可以直接分析驱动器。文件头和尾可以通过配置文件设置,也可以通过命令行开关使用 formost 内建的文件类型。formost 最初是由美国空军特别调查室(Air Force ...
linux 误删文件恢复工具,恢复Linux误删除文件系列之foremost工具
weixin_39969298的博客
04-29 257
文件恢复原理:首先简单介绍一下Linux文件系统的最基本单元:inode。inode译成中文就是索引节点,每个存储设备(例如硬盘)或存储设备的分区被格式化为文件系统后,应该有两部份,一部份是inode,另一部份是block,block是用来存储数据用的。而inode呢,就是用来存储这些数据的信息,这些信息包括文件大小、属主、归属的用户组、读写权限等。inode为每个文件进行信息索引,所以就有了i...
ubuntu环境下数据误删除恢复--extundelete恢复原理
aqmqb86046的专栏
06-11 644
1、 数据恢复软件extundelete介绍   作为一名运维人员,保证数据的安全是根本职责,所以在维护系统的时候,要慎之又慎,但是有时难免会出现数据被误删除的情况,在这个时候该如何快速、有效地恢复数据呢?本节我们就来介绍一下Linux系统下常用的几个数据恢复工具。 2、 如何使用“rm -rf”命令   在Linux系统下,通过命令“rm -rf”可以将任何数据直接从硬盘删除,并...
kali下载winrar
最新发布
08-29
Kali Linux 是一个基于Debian的开源Linux发行版,专为数字取证和渗透测试而设计。Kali Linux 提供了一套工具集,用于网络安全评估,而这些工具主要是命令行界面的,但也有图形界面的工具。 WinRAR 是一个著名的文件压缩和解压缩工具,主要用于Windows操作系统。由于Kali Linux 是基于Linux的操作系统,它并不直接支持Windows的.exe安装文件。因此,如果你想在Kali Linux上使用类似WinRAR的功能,你需要下载适用于Linux的压缩工具。 在Kali Linux上安装类似WinRAR的工具,你可以通过终端进行安装。例如,可以使用以下命令来安装一个流行的压缩和解压缩工具7-Zip: ```bash sudo apt update sudo apt install p7zip-full p7zip-rar ``` 这个命令会安装7-Zip及其对RAR格式的支持,使你能够在Kali Linux上处理RAR文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值