개요
extundelete은 ext3 / ext4 파티션에서 삭제 된 파일을 복구 할 수있는 유틸리티이다. 리눅스를 사용할 때 ext3파일 시스템이 가장 일반적이며, ext4는 그 다음이다. extundelete가 해당 파티션에서 삭제 된 파일을 복구하려고 시도할 때는 해당 파티션의 실행 기록(journal)에 저장 되어있는 정보를 사용한다.
테스트 환경
운영 체제 (OS) : BackTrack5 R2 |
실수로 /dev/sda1 파티션의 /test/extundelete 폴더에 존재하는 testfile.txt 파일을 삭제 했다고 가정하에 진행한다.
[그림1. 삭제된 파일 복원]
extundelete를 이용하여, 삭제된 파일을 복원하면 extundelete가 존재하는 디렉터리 안에 RECOVERED
_FILES에 삭제된 파일이 복원된다.
[그림2. RECOVERED_FILES 폴더 확인]
RECOVERED_FILE을 살펴 보면, [그림3]과 같이 삭제된 파일의 전체 경로에 똑같이 디렉터리가 생성되고 그 밑에 삭제된 파일이 복원된다.
[그림3. 삭제된 파일 복원]
만약 해당 파티션에서 삭제된 모든것을 복원하고 하고 싶다면 아래와 같이 [--restore-all] 옵션을사용하면 된다.
[그림4. 파티션 전체 복원]
[그림5. 파티션 전체 복원 결과]
참고 URL 및 도서
http://extundelete.sourceforge.net
[BackTrack5 R1] Xplico (0) | 2013.02.05 |
---|---|
[BackTrack5 R1] Tcpreplay (0) | 2013.02.05 |
[BackTrack5 R2] findmyhash (0) | 2013.02.04 |
[BackTrack5 R2] hash-identifier (0) | 2013.02.04 |
BackTrack5 R2] Reaver (0) | 2013.02.04 |