安装Scalpel(文件系统恢复工具)在Linux中恢复已删除的文件/文件夹

本文介绍如何在Linux系统中使用scalpel工具来恢复已删除的文件和文件夹。

很多时候,碰巧我们意外或误按“Shift + Delete”的文件。 通过人性必须使用' 移+ Del键 ',而不是只使用“ 删除 ”选项的习惯。 我实际上有这个事件几天回来。 我正在处理一个项目,并将我的工作文件保存在一个目录中。 该目录中有许多不需要的文件,需要永久删除。 所以我开始逐一删除它们。 虽然删除这些文件,我不小心按下“ 转移删除 ”我的重要文件,之一。该文件从我的目录永久删除。我想知道如何恢复删除的文件,没有任何线索做什么。我几乎花了很多时间恢复文件,但没有运气。
在Linux中恢复文件

Scalpel恢复工具

了解一点技术知识,我知道有关文件系统和硬盘驱动器的工作原理。 当您意外删除文件时,该文件的内容不会从您的计算机中删除。 它只是从数据库文件夹中删除,您不能看到文件到目录,但它仍然保留在您的硬盘驱动器中的某个位置。 基本上系统有一个列表指针,指向存储设备上的块仍然有数据。 除非使用新文件覆盖,否则数据不会从块存储设备中删除。 在这一点上的看法我发布了我已删除的文件可能仍然保留在硬盘上的一个未编入索引区域的某个地方。但是,建议您在发现已删除任何重要文件后立即卸载设备。卸载可帮助您防止阻止的文件被新文件覆盖。 在这种情况下,我不想重写这些数据,因此我更喜欢搜索硬盘驱动器,而不加载它。 通常情况下在Windows中,我们得到吨的第三方工具来恢复丢失的数据,但在Linux的只有少数。 然而,我使用Ubuntu作为操作系统,这是非常难以找到恢复丢失文件的工具。 在我的研究我知道“ 手术刀 ”,通过整个硬盘驱动器上运行,并恢复丢失的文件的工具。 我安装并成功恢复了丢失的文件用手术刀工具的帮助。这是真的了不起的工具,我必须说。 这也可能发生在你身上。所以我想和我分享我的经验。在这篇文章中,我将告诉你如何使用scalpel工具的帮助恢复已删除的文件。所以这里我们去。

什么是Scalpel工具?

手术刀LinuxMac操作系统的开源文件系统恢复。该工具访问块数据库存储,并从中识别已删除的文件,并立即恢复它们。除了文件恢复它也是有用的数字取证调查。

如何安装Scalpel在Debian / Ubuntu和Linux Mint

要通过从桌面做“CTRL + ALT + T”安装手术刀,打开终端,运行以下命令。
$ sudo apt-get install scalpel
示例输出
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
howtoing@howtoing-Latitude-D630:~$

在RHEL / CentOS和Fedora中安装Scalpel

若要安装手术刀恢复工具,你需要先启用EPEL软件库 。 一旦启用,你可以做“ Yum ”进行安装,如图所示。
# yum install scalpel
示例输出
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.01link.hk
* epel: mirror.nus.edu.sg
* epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
==========================================================================================================================================================
Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
scalpel                i686            2.0-1.el6               epel                    50 k
Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)
Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : scalpel-2.0-1.el6.i686							1/1 
Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 
Installed:
scalpel.i686 0:2.0-1.el6                                                                                                                                
Complete!
一旦安装了手术刀,您需要进行文本编辑。默认情况下手术刀工具有在“/ etc”目录下自己的配置文件和完整路径是“/etc/scalpel/scalpel.conf”“/etc/scalpel.conf”。 你可以看到,一切都注释掉(#)。所以在运行scalpel之前,您需要取消注释需要恢复的文件格式。但是取消注释整个文件是耗时的,并会产生一个巨大的错误结果。 让说,例如我想只恢复名为.jpg文件,所以干脆取消注释名为.jpg文件部分手术刀配置文件。
# GIF and JPG files (very common)
gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9
转到终端并键入以下语法。该' 的/ dev / SDA1'是从该文件已被删除的设备的位置。
$ sudo scalpel /dev/sda1-o output
“-o”开关指示输出目录,要恢复删除的文件。在运行任何命令之前,请确保此目录为空,否则它将给您一个错误。上述命令的输出为。
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target "/dev/sda1"
Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA
正如您所看到的,手术刀现在正在执行其过程,并且需要一段时间来恢复已删除的文件,具体取决于您尝试扫描的磁盘空间和机器的速度。 我建议大家有仅使用删除 ,而不是“Shift + Delete键 ”的习惯。因为所说的预防总是比治疗好。