যদি আপনি ext3 ফাইল সিস্টেম ব্যবহার করেন তবে কার্লো উডের হাটো অনুসরণ করার চেষ্টা করুন
কয়েকটি কথায়,
- Ext3grep $ চিত্র --ls - ইনোড 2 | ব্যবহার করুন আপনি যে ফাইলটি সন্ধান করছেন তা সন্ধান করতে আপনার_ফাইলে গ্রেপ করুন (যেখানে dev চিত্রটি আপনার / পার্টিশনের উদাহরণ হিসাবে / dev / sda2)
- ফাইল সিস্টেম ব্লকটি সন্ধান করুন যাতে আনলোকেটেড স্পেসের জার্নাল রয়েছে।
- সমস্ত জার্নাল বর্ণনাকারী ব্লক উল্লেখ করে যা আগে পাওয়া গেছে re
- ব্লকটি ডিডি সহ অনুলিপি করুন।
- পেছনের শূন্যগুলি মুছতে ফাইলটি সম্পাদনা করুন।
- আপনি যেখানেই চান ফাইলটি বিড়াল করুন
উত্স থেকে:
"অধ্যায়টি ম্যানুয়াল পুনরুদ্ধারের উদাহরণ
নিম্নলিখিত উদাহরণে আমরা ম্যানুয়ালি একটি ছোট ফাইল পুনরুদ্ধার করব। স্থান বাঁচাতে এবং উদাহরণটি আরও পঠনযোগ্য করার জন্য কেবল আংশিক আউটপুট দেওয়া হয়।
Ext3grep $ চিত্র --ls - ইনোড ব্যবহার করে আমরা যে ফাইলটি পুনরুদ্ধার করতে চাই তার নাম পাই:
$ ext3grep $ চিত্র --ls - ইনোড 2 | গ্রেপ কার্লো 3 এন্ড ডি 195457 ডি 1202352103 থু 7 ফেব্রুয়ারী 03:41:43 2008 drwxr-xr-x কার্লো
$ ext3grep $ চিত্র --ls --inode 195457 | গ্রেপ 'বিন |' | শিরোনাম -n 1 34 35 ডি 309540 ডি 1202352104 থু ফেব্রুয়ারী 7 03:41:44 2008 drwxr-xr-x বিন
$ ext3grep $ চিত্র --ls - ইনড 309540 | গ্রেপ স্টার্ট_এজুরিয়াস 9 10 আর 309631 ডি 1202351093 থু ফেব্রুয়ারি 7 03:24:53 ২০০৮ rrwxr-xr-x start_azureus
স্পষ্টতই, ইনোড 309631 মুছে ফেলা হয়েছে এবং এই ফাইলটির জন্য আমাদের কোনও ব্লক নম্বর নেই:
$ ext3grep $ চিত্র - প্রিন্ট - ইনড 309631 [...] ইনোডটি অনিবন্ধিত গ্রুপ: 19 জেনারেশন আইডি: 2771183319 uid / জিড: 1000/1000 মোড: rrwxr-xr-x আকার: 0 সংযোগের সংখ্যা: 0 সেক্টর: 0 (-> 0 টি পরোক্ষ ব্লক)।
ইনোড টাইমস: অ্যাক্সেস করা হয়েছে: 1202350961 = থু ফেব্রুয়ারি 7 03:22:41 ২০০৮ ফাইল সংশোধিত: 1202351093 = থু ফেব্রুয়ারী 03:24:53 ২০০৮ ইনোড পরিবর্তিত: 1202351093 = থু ফেব্রুয়ারী 03:24:53 ২০০৮ মোছার সময়: 1202351093 = থু ফেব্রুয়ারী 7 03:24:53 2008
সরাসরি ব্লক:
সুতরাং, আমরা জার্নালে এটির একটি পুরানো অনুলিপি সন্ধান করার চেষ্টা করব। প্রথমত, আমরা এই ফাইলটি ব্লকটি পাই যা এই ইনডটি সহ:
$ ext3grep $ চিত্র - ইনোড-টু-ব্লক 309631 | গ্রেপ বাস ইনড 309631 অফসেট 0xf00 এ 622598 ব্লকে থাকে।
তারপরে আমরা 622598 ব্লকের রেফারেন্স সহ সমস্ত জার্নাল বর্ণনাকারী খুঁজে পাই:
$ ext3grep $ ছবি - জার্নাল - ব্লক 622598 [...] জার্নাল বর্ণনাকারী ব্লক 622598: 4381294 26582 4381311 28693 4381313 28809 4381314 28814 4381321 29308 4381348 30676 4381349 30986 4381350 31299 4381335 3135 4382137 6672 4382138 7536 4382139 7984 4382140 8931
এর অর্থ সিক্যুয়েন্স নম্বর 4381294 সহ লেনদেনের ব্লক 26582 ব্লকের 622598 ব্লকের একটি অনুলিপি রয়েছে এবং এই জাতীয়। নীচে বৃহত্তম সিকোয়েন্স নম্বরটি ডিস্কে লিখিত সর্বশেষ তথ্য হওয়া উচিত এবং এইভাবে 8931 ব্লকটি বর্তমান ব্লক 622598 এর সমান হওয়া উচিত the ঊর্ধ্বমুখী।
আপনি যদি এই জাতীয় ব্লক প্রিন্ট করার চেষ্টা করেন, ext3grep সনাক্ত করে যে এটি একটি ইনোড সারণী থেকে একটি ব্লক এবং এতে সমস্ত 32 ইনোডের সামগ্রী মুদ্রণ করবে। আমরা তবে কেবল ইনড 309631 দেখতে চাই; সুতরাং আমরা একটি স্মার্ট গ্রেপ ব্যবহার করি:
$ ext3grep $ চিত্র - ছাপ - ব্লক 8931 | গ্রেপ -A15 'ইনোড 309631' -------------- ইনোড 309631 ----------------------- জেনারেশন আইডি: 2771183319 uid / gid: 1000/1000 মোড: rrwxr-xr-x আকার: লিঙ্কের 0 সংখ্যা: 0 সেক্টর: 0 (-> 0 অপ্রত্যক্ষ ব্লক)।
ইনোড টাইমস: অ্যাক্সেস করা হয়েছে: 1202350961 = থু ফেব্রুয়ারি 7 03:22:41 ২০০৮ ফাইল সংশোধিত: 1202351093 = থু ফেব্রুয়ারী 03:24:53 ২০০৮ ইনোড পরিবর্তিত: 1202351093 = থু ফেব্রুয়ারী 03:24:53 ২০০৮ মোছার সময়: 1202351093 = থু ফেব্রুয়ারী 7 03:24:53 2008
সরাসরি ব্লক:
এটি প্রকৃতপক্ষে আমরা 622598 ব্লকে দেখেছি ঠিক একইরকম Next আমরা যে প্রথমটি খুঁজে পাই (নীচে আপ) এটি ব্লক 6073:
$ ext3grep $ চিত্র - ছাপ - ব্লক 6073 | গ্রেপ -A15 'ইনোড 309631' -------------- ইনোড 309631 ----------------------- জেনারেশন আইডি: 2771183319 uid / gid: 1000/1000 মোড: rrwxr-xr-x আকার: লিঙ্কের 40 সংখ্যা: 1 সেক্টর: 8 (-> 0 অপ্রত্যক্ষ ব্লক)।
ইনোড টাইমস: অ্যাক্সেস করা হয়েছে: 1202350961 = থু ফেব্রুয়ারি 7 03:22:41 ২০০৮ ফাইল সংশোধিত: 1189688692 = থু সেপ্টেম্বর 13 15:04:52 2007 ইনোড সংশোধিত: 1189688692 = থু সেপ্টেম্বর 15:04:52 2007 মোছার সময়: 0
সরাসরি ব্লক: 645627
উপরেরটি স্বয়ংক্রিয় এবং কমান্ড লাইন বিকল্প - শো-জার্নাল-ইনোডগুলির সাহায্যে অনেক দ্রুত করা যায় done এই বিকল্পটি ইনোডের সাথে সম্পর্কিত ব্লকটি খুঁজে পাবে, তারপরে জার্নালে block ব্লকের সমস্ত অনুলিপিগুলি সন্ধান করবে এবং পরবর্তীকালে এই প্রতিটি ব্লক থেকে কেবল অনুরোধ করা ইনোড প্রিন্ট করবে (যার প্রত্যেকটিতে 32 টি ইনোড রয়েছে, যেমনটি আপনি জানেন) নকলগুলি মুছে ফেলে :
3 ext3grep $ চিত্র - শো-জার্নাল-ইনোডস 309631 গোষ্ঠীর সংখ্যা: 75 ন্যূনতম / সর্বাধিক জার্নাল ব্লক: 1115/35026 জার্নাল বর্ণনাকারী লোড হচ্ছে ... সম্পন্ন জার্নাল লেনদেন 4381435 মোড়ানো, কিছু তথ্য ব্লক এই লেনদেনে হারিয়ে যেতে পারে। জার্নালে বর্ণনাকারীর সংখ্যা: 30258; সর্বনিম্ন / সর্বাধিক ক্রম সংখ্যা: 4379495/4382264 ইনোড 309631 এর অনুলিপি জার্নালে পাওয়া গেছে:
-------------- ইনোড 309631 ----------------------- প্রজন্মের আইডি: 2771183319 ইউআইডি / জিড: 1000/1000 মোড: rrwxr-xr-x আকার: লিঙ্কের 0 সংখ্যা: 0 সেক্টর: 0 (-> 0 অপ্রত্যক্ষ ব্লক)।
ইনোড টাইমস: অ্যাক্সেস করা হয়েছে: 1202350961 = থু ফেব্রুয়ারি 7 03:22:41 ২০০৮ ফাইল সংশোধিত: 1202351093 = থু ফেব্রুয়ারী 03:24:53 ২০০৮ ইনোড পরিবর্তিত: 1202351093 = থু ফেব্রুয়ারী 03:24:53 ২০০৮ মোছার সময়: 1202351093 = থু ফেব্রুয়ারী 7 03:24:53 2008
সরাসরি ব্লক:
-------------- ইনোড 309631 ----------------------- প্রজন্মের আইডি: 2771183319 ইউআইডি / জিড: 1000/1000 মোড: rrwxr-xr-x আকার: লিঙ্কের 40 সংখ্যা: 1 সেক্টর: 8 (-> 0 অপ্রত্যক্ষ ব্লক)।
ইনোড টাইমস: অ্যাক্সেস করা হয়েছে: 1202350961 = থু ফেব্রুয়ারি 7 03:22:41 ২০০৮ ফাইল সংশোধিত: 1189688692 = থু সেপ্টেম্বর 13 15:04:52 2007 ইনোড সংশোধিত: 1189688692 = থু সেপ্টেম্বর 15:04:52 2007 মোছার সময়: 0
সরাসরি ব্লক: 645627
ফাইলটি আসলেই ছোট: কেবলমাত্র একটি ব্লক। আমরা এই ব্লকটি ডিডি সহ অনুলিপিটি অনুলিপি করে দেখলাম যেমন:
d ডিডি যদি = $ IMAGE বিএস = 4096 গণনা = 1 এড়িয়ে যান = 645627 এর = ব্লক 4545627 1 + 0 রেকর্ড 1 + 0 রেকর্ডস আউট 4096 বাইট (4.1 কেবি) অনুলিপি করা হয়েছে, 0.0166104 সেকেন্ড, 247 কেবি / এস
এবং তারপরে চলমান শূন্যগুলি মুছতে ফাইল সম্পাদনা করুন বা প্রথম 40 বাইট (ফাইলের প্রদত্ত আকার) অনুলিপি করুন:
d dd if = block.645627 বিএস = 1 গণনা = 40 এর = শুরু_azureus 40 + 0 রেকর্ড 40 + 0 রেকর্ড আউট 40 বাইট (40 বি) অনুলিপি করা হয়েছে, 0.000105397 সেকেন্ড, 380 কেবি / সে
$ বিড়াল স্টার্ট_এজুরিয়াস সিডি / ইউএসআর / এসআরসি / অ্যাজুরিয়াস / আজুরিয়াস।
চাঙ্গা!"