Vi várias postagens sobre a recuperação de arquivos excluídos, mas essa situação é diferente. Minha esposa tinha um arquivo chamado Journal.odt, no qual mantinha muitas informações pessoais importantes, como memórias especiais sobre nossos filhos. No outro dia, quando ela tentou abri-lo no OpenOffice, ele reclamou do formato. Eu a mandei cancelar e voltar. Quando eu cat
o arquivo está completamente vazio. ls
diz que o arquivo é 0 bytes.
Se ela tivesse selecionado acidentalmente todo o texto do arquivo, pressionado backspace e o salvado, ainda haveria as meta informações do OpenOffice no arquivo.
Desliguei imediatamente o laptop dela para evitar fazer mais alterações no disco até pensar em algo para fazer.
Eu fiz algumas coisas complicadas no passado, como usar dd
para recuperar texto bruto do disco, mas não tenho idéia do que fazer aqui. Como os arquivos odt não são texto simples, não posso simplesmente canalizar todo o disco através do grep.
Todas as sugestões serão muito apreciadas.
Além disso, se alguém tiver alguma idéia do que pode ter dado errado, eu adoraria ouvi-lo.
obrigado
fonte
df -h
Ctrl+Z
não teria feito nada, pois o arquivo não foi salvo como está no OO. @ Jacobwalker0814 Os arquivos ODT são arquivos zip, portanto, ferramentas de recuperação como o testdisk têm a chance de encontrá-los; mas não há garantia e, mesmo que os dados ainda estejam lá, você poderá percorrer muitos outros arquivos zip. E para o futuro, faça backup!Respostas:
Se você estiver usando o sistema de arquivos ext3, tente seguir o HOWTO de Carlo Wood
Em poucas palavras,
Da fonte:
"O capítulo Exemplo de recuperação manual
No exemplo a seguir, recuperaremos manualmente um arquivo pequeno. Somente saída parcial é fornecida para economizar espaço e tornar o exemplo mais legível.
Usando ext3grep $ IMAGE --ls --inode, encontramos o nome do arquivo que queremos recuperar:
Obviamente, o inode 309631 é apagado e não temos números de bloco para este arquivo:
Portanto, tentaremos procurar uma cópia mais antiga no diário. Primeiro, encontramos o bloco do sistema de arquivos que contém este inode:
$ ext3grep $ IMAGE --inode-para-bloquear 309631 | grep reside O inode 309631 reside no bloco 622598 no deslocamento 0xf00.
Em seguida, encontramos todos os descritores de diário que referenciam o bloco 622598:
Isso significa que a transação com o número de sequência 4381294 possui uma cópia do bloco 622598 no bloco 26582 e assim por diante. O maior número de sequência, na parte inferior, deve ser o último dado gravado no disco e, portanto, o bloco 8931 deve ser o mesmo do bloco atual 622598. Para encontrar a última cópia não excluída, é necessário iniciar na parte inferior e trabalhar para cima.
Se você tentar imprimir um bloco desse tipo, o ext3grep reconhecerá que é um bloco de uma tabela de inodes e imprimirá o conteúdo de todos os 32 inodes nela. No entanto, apenas desejamos ver o inode 309631; então usamos um grep inteligente:
Blocos diretos:
É realmente o mesmo que vimos no bloco 622598. A seguir, examinamos números de sequência menores até encontrarmos um com um tempo de exclusão 0. O primeiro que encontramos (de baixo para cima) é o bloco 6073:
O exposto acima é automatizado e pode ser feito muito mais rápido com a opção de linha de comando --show-journal-inodes. Essa opção localiza o bloco ao qual o inode pertence, localiza todas as cópias desse bloco no diário e, subsequentemente, imprime apenas o inode solicitado de cada um desses blocos (cada um deles contém 32 inodes, como você sabe), eliminando duplicatas :
O arquivo é realmente pequeno: apenas um bloco. Copiamos esse bloco com dd, como mostrado anteriormente:
e edite o arquivo para excluir os zeros à direita ou copie os primeiros 40 bytes (o tamanho especificado do arquivo):
Recuperado!"
fonte
Tente testdisk e photorec , mas a maneira como entendo sua escrita é provavelmente a maneira mais difícil de aprender o valor dos backups regulares. Além disso, convém inicializar a partir do CD para impedir que o disco rígido seja alterado ainda mais. Pessoalmente, gosto do System Rescue Disk para isso, mas é amplamente baseado em linha de comando.
fonte
Use o Caine, uma distribuição linux especial para análise forense digital. É uma abundância de ferramentas para recuperação de arquivos e disco rígido.
fonte