ext3grep - Memulihkan File yang Dihapus di Debian dan Ubuntu

ext3grep adalah program sederhana untuk memulihkan file pada sistem file EXT3. Ini adalah alat investigasi dan pemulihan yang berguna dalam investigasi forensik. Ini membantu untuk menampilkan informasi tentang file yang ada pada suatu partisi dan juga memulihkan file yang terhapus secara tidak sengaja.

Pada artikel ini, kami akan mendemonstrasikan trik berguna, yang akan membantu Anda memulihkan file yang terhapus secara tidak sengaja pada sistem file ext3 menggunakan ext3grep di Debian dan Ubuntu.

Skenario Pengujian

  • Nama perangkat: /dev/sdb1
  • Titik pemasangan: /mnt/TEST_DRIVE
  • Jenis sistem file: EXT3

Cara Memulihkan File yang Dihapus Menggunakan Alat ext3grep

Untuk memulihkan file yang terhapus, pertama-tama Anda perlu menginstal program ext3grep di sistem Ubuntu atau Debian Anda menggunakan manajer paket APT seperti yang ditunjukkan.

sudo apt install ext3grep

Setelah terinstal, sekarang kami akan menunjukkan cara memulihkan file yang terhapus pada sistem file ext3.

Pertama, kita akan membuat beberapa file untuk tujuan pengujian di titik mount /mnt/TEST_DRIVE dari partisi/perangkat ext3 yaitu /dev/sdb1 dalam kasus ini.

cd /mnt/TEST_DRIVE
sudo touch files[1-5]
ls -l

Sekarang kita akan menghapus satu file bernama file5 dari titik mount /mnt/TEST_DRIVE dari partisi ext3.

sudo rm file5

Sekarang kita akan melihat bagaimana memulihkan file yang terhapus menggunakan program ext3grep pada partisi yang ditargetkan. Pertama, kita perlu melepasnya dari titik pemasangan di atas (perhatikan bahwa Anda harus menggunakan perintah cd untuk beralih ke direktori lain agar operasi pelepasan dapat berfungsi, jika tidak, perintah umount akan menampilkan kesalahan “< kuat>target itu sedang sibuk“).

cd
$sudo umount /mnt/TEST_DRIVE

Sekarang kita telah menghapus salah satu file (yang kita asumsikan dilakukan secara tidak sengaja), untuk melihat semua file yang ada di perangkat, jalankan opsi --dump-name (ganti /dev/sdb1 dengan nama perangkat sebenarnya).

ext3grep --dump-name /dev/sdb1

Untuk memulihkan file yang terhapus di atas yaitu file5, kami menggunakan opsi --restore-all seperti yang ditunjukkan.

ext3grep --restore-all /dev/sdb1

Setelah proses pemulihan selesai, semua file yang dipulihkan akan ditulis ke direktori RESTORED_FILES, Anda dapat memeriksa apakah file yang dihapus telah dipulihkan atau tidak.

cd RESTORED_FILES
ls

Kami dapat menentukan file tertentu untuk dipulihkan, misalnya file bernama file5 (atau menentukan path lengkap file dalam perangkat ext3).


ext3grep --restore-file file5 /dev/sdb1 
OR
ext3grep --restore-file /path/to/some/file /dev/sdb1

Selain itu, kita juga bisa mengembalikan file dalam jangka waktu tertentu. Misalnya, cukup tentukan tanggal dan kerangka waktu yang benar seperti yang ditunjukkan.

ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1

Untuk informasi lebih lanjut, lihat halaman manual ext3grep.

man ext3grep

Itu dia! ext3grep adalah alat sederhana dan berguna untuk menyelidiki dan memulihkan file yang terhapus pada sistem file ext3. Ini adalah salah satu program terbaik untuk memulihkan file di Linux. Jika Anda memiliki pertanyaan atau pemikiran untuk disampaikan, hubungi kami melalui formulir umpan balik di bawah.