那些遇到过的问题

如何恢复 NTFS 分区上最近删除的目录

Tim*_*Tim 7 data-recovery ntfs

在 Ubuntu 12.04 下的 Nautilus 中,我不小心选择了一个分区上的几个目录并一次删除了它们(不幸的是,我通过 Shift+Delete 删除了它们,这样它们就不会留在垃圾箱中)。自删除以来,我还没有向该分区写入任何新数据。我想知道我可以尝试哪些方法来恢复它们?请注意,分区是 NTFS,在 Windows 7 和 Ubuntu 12.04 之间共享。

以下是我迄今为止尝试过的不同软件。

  1. 我也尝试过使用 Sleuthkit,但我不知道如何使用它。

    我已经sudo fls -f ntfs -d -r -p /dev/sda3 > ~/deleted_files.txt在我的 110GB 96% 使用的 ntfs 分区上运行了将近一个星期。还没跑完(不知道什么时候跑完),文件~/deleted_files.txt还是空的。我所有的工作都被搁置了,因为我不敢向分区写入任何数据。

    现在我想知道我对 sleuthkit 的使用是否是识别最近删除的目录和文件的最快方法?

  2. 我通过 apt-get install 安装了 TestDisk 6.13,并按照 http://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk 来恢复删除的目录和其中的文件。但是TestDisk显示的不是链接中图片所示的已删除文件/目录名称,而是以inode编号命名的文件:

    TestDisk 6.13, Data Recovery Utility, November 2011
Christophe GRENIER <grenier@cgsecurity.org>
http://www.cgsecurity.org
 3 P HPFS - NTFS           9291  38 28 23650 187 25  230686720 [Data]
Deleted files

>inode_13285                           30-Jan-2011 20:55     29427
 inode_13285:Zone.Identifier           30-Jan-2011 20:55        26
 inode_164258                          11-Aug-2011 13:16      2993
 inode_307016                          12-Feb-2011 09:34      1808
 inode_307017                          12-Feb-2011 09:34     10254
 inode_307018                          12-Feb-2011 09:34     13155
 inode_307019                          12-Feb-2011 09:34      7586
 inode_307020                          12-Feb-2011 09:34      7344
 inode_307021                          12-Feb-2011 09:34      6943
 inode_307022                          12-Feb-2011 09:34      6081
 inode_307023                          12-Feb-2011 09:34     24043
 inode_314965                          12-Feb-2011 09:36    112947
 inode_314983                          12-Feb-2011 09:36     23581
 inode_314984                          12-Feb-2011 09:36      8486
 inode_314985                          12-Feb-2011 09:36       158
 inode_314986                          12-Feb-2011 09:36        45
                                                   Next
Use : to select the current file, a to select/deselect all files,
    C to copy the selected files, c to copy the current file, q to quit
    Run Code Online (Sandbox Code Playgroud)

    当我点击a然后C选择并复制所有选定的文件时,命名的文件inode_xxxxxx将被复制到我指定的目录中。

    另外,我不知道 TestDisk 显示的每个文件的日期和时间的含义。是指删除日期和时间还是删除前的最后更新日期和时间?(注意 TestDisk 显示的最近日期和时间是 30-Jul-2012 20:53,这不是意外删除发生的今天。)

    如何确定哪些文件是我最近删除的文件,以及如何恢复它们?

    我可以找出并恢复最近删除的目录而不仅仅是文件吗?

  3. 我也很想知道这两个指向 How-to 的链接是否真的有效?

    http://www.ehow.com/how_5202235_retrieve-deleted-files-linux.html 中grep -b 'search-text' /dev/partition > file.txt用于搜索已删除的文件。

    http://www.ehow.com/how_7517984_restore-overwritten-file-linux.html 中,使用了“Isdel”命令。

除了 TestDisk 和 Sleuthkit 之外,我还可以尝试哪些其他软件?

Bra*_*iam 1

Linux 中的数据恢复工具非常奇怪,而且在 NTFS 文件系统上运行的数据恢复工具中很少见。因此,如果您想要一个工具来恢复文件的元数据并呈现它们,如果它不是建议的 ntfsundelete、PhotoRec (Sleuthkit) 或 TestDisk 之一;我建议使用仅限 Windows 的工具来完成该任务。

归档时间:

查看次数:

8850 次

最近记录:

8 年,2 月 前
相关归档
不小心在我的 Arch Linux 安装上运行了 sudo rm /* 21
.bashrc 被覆盖但仍然来源 - 如何恢复? 20
如何将损坏的磁盘中的 NTFS 分区 (WinXP) 克隆到新磁盘? 10
更快的磁盘恢复(ddrescue 运行缓慢) 8
在写入文件时重命名文件 6
从损坏的 DVD 中恢复文件 5
从 ext4 分区上的意外格式中恢复数据 4
如何挂载和解密 LUKS 加密分区以恢复文件 4
ntfs-3g 是如何创建的? 3
从 NTFS 驱动器复制的所有文件或文件夹都具有 drwxrwxrwx 权限。我可以轻松纠正这个问题吗? 3
难疑归档
排序和计算行出现的次数 253
复制特定文件类型保持文件夹结构 166
使用 vimdiff 复制更改的推荐方法是什么? 146
什么是超级块、索引节点、Dentry 和文件? 144
为什么有这么多不同的方法来衡量磁盘使用情况? 128
为什么“回声”比“触摸”快这么多? 121
如果 Linux 只是一个内核,那么它​​的第一个版本是如何使用的(没有分发)? 117
命令历史记录中的命令行补全 106
为什么经常使用`while IFS= read`,而不是`IFS=; 阅读时..`? 94
即使使用 --passphrase,gpg 也会要求输入密码 93