Второе рождение утерянных данных под LINUX'ом


         

В некоторых случаях предпочтительнее восстанавливать




Рисунок 9 просмотр содержимого inod'е

В некоторых случаях предпочтительнее восстанавливать файлы по их содержимому. Предположим, удаленный файл содержал строку "hello, world". Нажимаем <f> (search), а затем <A> (Search all block). Если забыть нажать <A>, то редактор будет пропускать блоки, принадлежащие удаленным файлам при поиске, что явно не входит в наши планы. Как вариант, можно запустить редактор с ключом "--all".



Рисунок 10 восстановление файла по содержимому

Теперь нажимаем <B> для перевода lde в block-mode, давим </> и вводим ASCII-строку для поиска. Редактор, пошуршав некоторое время жестким диском, находит нужный блок. Смотрим — действительно или это тот блок, который нам нужен или произошло недоразумение. Ложное срабатывание в смысле. Если блок действительно наш, ждем <Ctrl-R> и редактор сообщает номер inod'ы, которой этот блок принадлежит (он отображается внизу экрана, не спутайте его с номером последней просмотренной inod'у, отображаемой вверху). Клавиша <I> переводит нас в режим inode, после чего остается нажать <#> и ввести номер inod'ы, которую мы хотим просмотреть. Если дата удаления выгладит вполне правдоподобно, нажимаем <Shift-R>/<R> и сбрасываем файла на диск.

Все это работает только с ext2fs, и не пригодно для ext3fs, поскольку, как уже говорилась, она затирает схему размещения файлов на диске и данные приходится восстанавливать буквально по кусочкам. Это довольно сложная работа и лучше поручить ее профессионалам. Из личного опыта мог порекомендовать две фирмы: Ростовскую ACE-Labs (www.acelab.ru) и Киевский ЕПОС (http://www.epos.kiev.ua/). Впрочем, они наверняка потребуют денег…


Содержание  Назад  Вперед