Mengembalikan File Yang Terhapus pada Debian dan Ubuntu dengan ext3grep

ext3grep adalah program sederhana untuk memulihkan file pada sistem file EXT3. Ini adalah alat investigasi dan pemulihan yang berguna dalam investigasi forensik. Ini membantu untuk menampilkan informasi tentang file yang ada pada partisi dan juga memulihkan file yang terhapus secara tidak sengaja.

Pada artikel ini, kami akan menunjukkan trik yang berguna, yang akan membantu Anda memulihkan file yang terhapus secara tidak sengaja pada sistem file ext3 menggunakan ext3grep di Debian dan Ubuntu.

Testing Scenario

• Nama Device: /dev/sdb1
• Mount point: /mnt/TEST_DRIVE
• Filesystem type: EXT3

Cara Recover Files Terhapus Dengan Tool ext3grep

Untuk memulihkan file yang dihapus, pertama-tama Anda harus menginstal program ext3grep di sistem Ubuntu atau Debian menggunakan manajer paket APT seperti yang ditunjukkan.

$ sudo apt install ext3grep

Setelah terinstal, sekarang kami akan menunjukkan cara memulihkan file yang dihapus pada sistem file ext3.

Pertama, kami akan membuat beberapa file untuk tujuan pengujian di mount point /mnt/TEST_DRIVE partisi ext3 /device i.e. /dev/sdb1 .

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

Sekarang coba hapus file file5 dari /mnt/TEST_DRIVE .

$ sudo rm file5

Sekarang kita akan melihat bagaimana memulihkan file yang dihapus menggunakan program ext3grep pada partisi yang ditargetkan. Pertama, kita perlu meng-unmount dari titik mount di atas (perhatikan bahwa Anda harus menggunakan perintah cd untuk beralih ke direktori lain agar operasi unmount berfungsi, jika tidak, umount akan menampilkan error “that target is busy“).

$ cd
$ sudo umount /mnt/TEST_DRIVE

Sekarang kami telah menghapus salah satu file (yang kami anggap telah dilakukan secara tidak sengaja), untuk melihat semua file yang ada di perangkat, jalankan --dump-name option (replace /dev/sdb1 dengan nama perangkat yang sebenarnya).

$ ext3grep --dump-name /dev/sdb1

Untuk mengembalikan file i.e. file5, kami menggunakan --restore-all .

$ ext3grep --restore-all /dev/sdb1

Setelah proses pemulihan selesai, semua file yang dipulihkan akan ditulis ke direktori RESTORED_FILES, Anda dapat memeriksa apakah file yang dihapus sudah dipulihkan atau tidak.

$ cd RESTORED_FILES
$ ls 

Kami dapat menentukan file tertentu untuk dipulihkan, misalnya file bernama file5 (atau menentukan path lengkap file dalam perangkat ext3).

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1 

Selain itu, kami juga dapat memulihkan file dalam periode waktu tertentu. Misalnya, cukup tentukan kerangka tanggal dan waktu yang benar seperti yang ditunjukkan.

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

Untuk informasi lebih lanjut, lihat halaman manual ext3grep.

$ man ext3grep

Itu dia! ext3grep adalah alat sederhana dan berguna untuk menyelidiki dan memulihkan file yang dihapus pada sistem file ext3. Ini adalah salah satu program terbaik untuk memulihkan file di Linux. Jika Anda memiliki pertanyaan atau pemikiran untuk dibagikan, hubungi kami melalui formulir umpan balik di bawah ini.