最近幫别人恢複U盤的一些檔案資訊,看了一下sleuthkit工具的使用,當然最簡單還是在windows下使用easy recover,當時fat的檔案系統還是存在許多缺點,它檔案占用的cluster記錄在fat表中,以鍊式的結果,如果删除的檔案不連續,可以講恢複的檔案可能是壞的.
當然這個在linux下使用sleuthkit與autopsy也無法避免,不過使用sleuthkit還是可以拼接出正确的檔案,隻不過手工操作太繁瑣.加上使用autopsy,還是有一些無法恢複的檔案,不過autopsy要求使用的硬碟空間要很大.
記錄一下常用的sleuthkit指令:
# fls -f fstype image 2
# fls -r -d -f fstype image 2
# icat -f fstype image inode
還有許多常用的指令,一般f開頭涉及檔案系統,i開頭的與inode有關,d 開頭的是相關的資料塊層的.屬性就很好了解了.
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)