http://compizomania.blogspot.com/2014/10/ubuntu.html
https://github.com/int0x80/anti-forensics/blob/master/scalpel.conf
DWG y 2500000 \x41\x43\x31\x30
XLS y 2500000 \x09\x02\x06\x00\x00\x00\x10\x00\xb9\x04\x5c\x00
XLS y 2500000 \x09\x04\x06\x00\x00\x00\x10\x00\xf6\x05\x5c\x00
XLS y 2500000 \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1
blend y 2500000 BLENDER_v ENDB
Как восстановить удаленные/потерянные файлы в Ubuntu и производных
Иногда так случается, что мы удаляем, как казалось бы ненужные файлы (изображения, видео, текстовые документы и пр.), а потом вдруг сожалеем об этом, т.к. среди удалённых, оказались нужные. Хорошо если мы удаляем файлы в Корзину, откуда очень просто восстановить, нажав сочетание клавиш Ctrl+Z и тогда все файлы, что находятся в Корзине будут восстановлены по своим прежним папкам или можно выборочно, кликнув правой кнопкой на нужный файл в Корзине и в контекстном меню — Восстановить.
Но что делать когда мы удалили фалы функцией — Удалить безвозвратно? Многие считают, что данные утеряны безвозвратно. Но это не так. В этом случае нам поможет консольная утилита Scalpel.
Scalpel — простое высокодейственное средство восстановления файлов.
Scalpel — это средство быстрого восстановления файлов, которое читая из базы данных начало и конец файлов известных форматов, пытается найти их на диске. Уникальность данного ПО заключается в том, что оно не зависит от файловой системы. Поэтому, восстановление возможно как с FATx, NTFS, ext2/3, так и с «голых» (raw) разделов. Инструмент может использоваться как для цифрового поиска информации, так и для восстановления файлов.
Scalpel есть в репозиториях практически всех дистрибутивах Linux. В Ubuntu и производных вы можете установить его из Центра приложений или выполнить команду в терминале на установку:
sudo apt-get install scalpel
После установки вы не найдёте в системном меню Scalpel, т.к. я упоминал выше, этот инструмент запускается из терминала определённой командой. Но прежде чем запустить команду на поиск безвозвратно удалённых файлов, вы должны в конфигурационном файле scalpel.conf раскомментировать строку (убрать знак решётки) с расширением нужного файла (Все типы файлов «по умолчанию» закомментированы). Выполните команду в терминале на открытие конфигурационного файла scalpel.conf:
sudo gedit /etc/scalpel/scalpel.conf
Примечание. В команде gedit (Ubuntu; Linux Mint Cinnamon) измените на название текстового редактора своего дистрибутива, установленного по умолчанию.
Для примера я выбрал поиск потерянных файлов изображений c расширением JPG и раскомментировал данную строку в открывшемся редакторе с файлом scalpel.conf:
Вы можете выбрать любой другой файл. Сохраните изменённый файл (Ctrl+S) и закройте редактор.
И вот теперь нужно выполнить терминальную команду с инструментом
scalpel для поиска утраченных файлов:
sudo scalpel /dev/sda8 -o /home/vladimir/JPG/output/
sda8 — это раздел на ж/диске моей актуальной системы. Чтобы вам определить свой раздел и изменить его в команде, выполните команду:
lsblk
В терминале должны отобразиться все разделы ж/диска. Как показано на снимке стрелкой, косой чертой или слешем отмечена точка монтирования моего раздела — sda8, который я ввёл в команду. У вас должен быть отмечен свой.
/home/vladimir — это имя моей Домашней папки. Измените vladimir на своё.
/JPG — это название папки в команде, которая будет создана а вашей Домашней папке, куда будут сохранены все восстановленные файлы, которое вы также можете изменить на своё.
Итак, выполняем команду и ждём окончания восстановления:
Как видно на снимке, процесс поиска и восстановления файлов изображений с расширением JPG на моём компьютере будет происходить за два шага, а также время, в зависимости от объёма указанного раздела (ГБ) и количества изображений, находящихся на нём.
Сразу хочу сказать, что процесс не быстрый.
