NTFSパーティションから最近削除されたディレクトリを回復する方法

tag-icon tag-icon data-recovery ntfs
NTFSパーティションから最近削除されたディレクトリを回復する方法

Ubuntu 12.04のNautilusでは、誤ってパーティションの複数のディレクトリを選択してすぐに削除しました(残念ながらごみ箱に残らないようにShift + Deleteを介して削除しました)。削除後、このパーティションに新しいデータを書き込んでいません。復元するにはどうすればよいですか?パーティションはNTFSで、Windows 7とUbuntu 12.04の間で共有されます。

以下は、これまで使ってきた他のソフトウェアです。

  1. 私もSleuthkitを使ってみましたが、使い方がわかりません。

    sudo fls -f ntfs -d -r -p /dev/sda3 > ~/deleted_files.txt私はほぼ週に110 GBのNTFSパーティションで96%の使用量でこれを実行しました。まだ実行が完了していない(いつであるかは不明)、ファイルは~/deleted_files.txtまだ空です。パーティションにデータを書き込むのが怖かったので、すべての操作が中断されました。

    私の場合、sleuthkitを使用することが最近削除されたディレクトリとファイルを識別する最速の方法かどうか疑問に思います。

  2. apt-get installを介してTestDisk 6.13をインストールし、従いました。 http://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk 削除されたディレクトリとその中のファイルを復元します。ただし、TestDiskは図のように削除されたファイル/ディレクトリ名を表示しません。リンクの写真ただし、inode 番号で指定されたファイルは次のようになります。

    TestDisk 6.13, Data Recovery Utility, November 2011
Christophe GRENIER <[email protected]>
http://www.cgsecurity.org
 3 P HPFS - NTFS           9291  38 28 23650 187 25  230686720 [Data]
Deleted files

>inode_13285                           30-Jan-2011 20:55     29427
 inode_13285:Zone.Identifier           30-Jan-2011 20:55        26
 inode_164258                          11-Aug-2011 13:16      2993
 inode_307016                          12-Feb-2011 09:34      1808
 inode_307017                          12-Feb-2011 09:34     10254
 inode_307018                          12-Feb-2011 09:34     13155
 inode_307019                          12-Feb-2011 09:34      7586
 inode_307020                          12-Feb-2011 09:34      7344
 inode_307021                          12-Feb-2011 09:34      6943
 inode_307022                          12-Feb-2011 09:34      6081
 inode_307023                          12-Feb-2011 09:34     24043
 inode_314965                          12-Feb-2011 09:36    112947
 inode_314983                          12-Feb-2011 09:36     23581
 inode_314984                          12-Feb-2011 09:36      8486
 inode_314985                          12-Feb-2011 09:36       158
 inode_314986                          12-Feb-2011 09:36        45
                                                   Next
Use : to select the current file, a to select/deselect all files,
    C to copy the selected files, c to copy the current file, q to quit

    クリックしてa選択Cしたすべてのファイルを選択してコピーすると、名前付きファイルがinode_xxxxxx私が指定したディレクトリにコピーされます。

    また、TestDiskが各ファイルに対して表示する日時が何を意味するのかわかりません。削除日時を意味しますか、それとも削除前の最後の更新日時を意味しますか? (TestDiskに表示される最新の日時は2012年7月30日20:53です。誤って削除が発生した今日ではありません。)

    最後に削除されたファイルが何であるかを確認し、そのファイルを回復するにはどうすればよいですか?

    ファイルだけでなく、最近削除されたディレクトリを見つけて復元できますか?

  3. また、これら2つの「方法」リンクが実際に機能しているかどうかを知りたいです。

    存在する http://www.ehow.com/how_5202235_retrieve-deleted-files-linux.htmlgrep -b 'search-text' /dev/partition > file.txt削除されたファイルを検索します。

    存在する http://www.ehow.com/how_7517984_restore-overwriting-file-linux.html、「Isdel」コマンドを使用してください。

TestDiskとSleuthkitに加えて、他のどのソフトウェアを試すことができますか?

ベストアンサー1

を使用すると、fls -rすべてのディレクトリを再帰的に巡回することになりますが、これは目標を達成するために必ずしも必要ではないかもしれません。 .flslsmactime

mactimeすべてのファイルをタイムラインに配置し、各ファイルの変更時間(m)、アクセス時間(a)、(プロパティ)変更時間(c)、または作成時間(b)を表示します。ファイルは異なる時間に作成および変更される可能性があるため、同じファイル名の一部が異なる行に表示されます。

たとえば、fls -m X: /dev/sda3 | mactime -b -時間でソートされた最上位ディレクトリのリストを取得したいとします。削除されたファイルが表示されます(deleted)。また、Windowsエクスプローラに隠されていることが多いメンテナンスデータストアも表示されます。

x-y-zNTFSの場合、ファイルシステムで指定されたファイルIDなど3つの数値の組み合わせがあります。通常のディレクトリのy場合144

fls -m X: /dev/sda3 x-y-z | mactime -b -興味のあるディレクトリのリストを取得するために使用されます。

ファイルIDを使用した同様の回復:icat /dev/sda3 x-y-z >recovered_file

おすすめ記事