linux恢复误删的文件之ext3grep

ext3grep是一个很简单的程序，可以在ext3文件系统上恢复删除的文件。他是一个有用的调查和恢复工具。
本文将演示一个意外删除的场景。
OS:Ubuntu,Debian
fs: ext3
Device: /dev/sdb1
Mount point: /mnt/TEST_DRIVE (在sdb1设备上挂载驱动）

Install ex3prep

$ apt install ext3grep

/mnt/TEST_DRIVE生成几个文件

$ cd /mnt/TEST_DRIVE
$ sudo touch files[1-5]
$ ls -l

然后删除file5

$  rm file5

现在我们显示如何用ex3prep恢复.
首先，卸载 /mnt/TEST_DRIVE

$ cd
$sudo umount /mnt/TEST_DRIVE

现用–dump-name项查看/dev/sdb1下存在的文件

$ ext3grep --dump-name /dev/sdb1

你发现，umount后，总共发现丢失了file1-file5，5个文件。

$ ext3grep --restore-file file5 /dev/sdb1 
OR
$ ext3grep --restore-file /path/to/some/file /dev/sdb1 

这样file5将被恢复到默认目录RESTORED_FILES，当然你也可以指定目录如/path/to/some/file
当然你可以恢复所有文件。

$ ext3grep --restore-all /dev/sdb1

你还可以指定删除操作的时间区间

$ ext3grep --restore-all --after `date -d 'Jan 1 2019 9:00am' '+%s'` --before `date -d 'Jan 5 2019 00:00am' '+%s'` /dev/sdb1 

最后，要更详细了解他，请用man ext3grep，希望ext3grep能帮助你。