|
|
发表于 2006-10-14 17:29:48
|
显示全部楼层
sleuth kit 有一个教程:
http://www.sleuthkit.org/sleuthkit/docs/ref_fs.html
我觉得具体的过程还是比较复杂的:
1) 如果误删,不要再进行其它操作,立即umount 该分区。
2) dd 该分区做成镜像文件。
3) 根据教程从镜像文件里恢复数据。
教程里的步骤大体是:
1) 用fls找到误删文件的inode
2) 用fsstat找到该inode所在的组, 进而找到该组所对应的block的范围。
3) 用dd 把该组范围的数据从镜像文件dump出来。
4) 再用 foremost 之类的工具分析dump出来的数据。
教程用ext3文件系统演示的,是否可行我没试过。但是我在obsd里却没成功,原因是找不出block的具体范围。lz 可以在ext2里试试。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主