Часто возникает необходимость восстановить удаленный файл в Linux. Многие «эксперты» говорят о том, что это невозможно для ext2/ext3. Не верьте — в этом может помочь программа Sleuth Kit.
Программа умеет работать с сырыми (raw) данными; поддерживает файловые системы NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, ISO 9660; работает под операционными системами Linux, Mac OS X, Windows, CYGWIN, OpenBSD, FreeBSD, Solaris.
Замечательно работает (при условии, что удаленный файл не перезаписан поверх чем-то еще). Список удаленных файлов можно просмотреть командой fls -rd /dev/sda1 и восстановить командой blkls или dd.
Вот так я восстановил все удаленные с флэшки:
for i in $(fls -rd /dev/sda1|awk {‘print $3’}|tr -d [:]); do icat -r -f fat /dev/sda1 $i > /tmp/$i;done
Что бы установить программу для gentoo надо просто ввести:
emerge app-forensics/sleuthkit
Загрузить: http://sourceforge.net/project/showfiles.p…lease_id=634511