Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

Heute hab ich mal nach Anwendungen gesucht, um von einer ext4 Partition Daten zu recovern und fand recht schnell auf sourceforge das Tool extundelete. Da extundelete nicht in den Ubuntuquellen vorhanden ist, muss man es sich kompilieren.

Neben den üblichen Werkzeugen zum kompilieren, benötigt man noch zusätzlich die Pakete: e2fsprogs, e2fslibs, e2fslibs-dev

Da ich ein .deb Paket bevorzuge, habe ich es so gebaut und installiert:



Unter Ubuntu 10.04 war das Paket in weniger als 3 Minuten sauber installiert und einsatzbereit.

Für ein Testszenario habe ich eine aktuell unbenutzte Partition gewählt, deren Festplattenbereich im früheren Leben mal eine /home Partition war (teilweise). Da sollte also eine Menge zu finden sein!

Auf dieser Partition habe ich 3 Files abgelegt. (html, mp3, mp4). Die html Datei habe ich per rm im Terminal gelöscht. Die anderen beiden per Nautilus und dann den .Trash auch per Nautilus.

Nun entschied ich mich für ein --restore-all, um mal zu schauen, was da so ans Tageslicht kommt (hier bitte eine Partition wählen, auf der ausreichend Platz zur Widerherstellung verfügbar ist. Die zu recovernde Partition bitte vorher aushängen):



Der Prozess dauerte ca. 3 Minuten und es wurden 4,3 GB gefundene Daten in RECOVERED FILES abgelegt. Imho ist das recht schnell.

Das per rm gelöschte html File wurde unter einem kryptischen Namen recovered. Die per Nautilus gelöschten Dateien wurden mit dem originalen Namen recovered. Die restlichen ca. 20000 Dateien wurden mit kryptischen Namen wieder hergestellt.
Filetypen wie mp3, txt, html, jpg waren i.d.R. wieder nutzbar. Lediglich mpg Files wurden meist als png abgelegt, auf denen man lediglich den Film- oder Bandnamen erkennen konnte.

Ich werde nun mal noch schauen, ob es möglich ist, gelöschte Files einzelnd, anhand des ursprünglichen Dateinamens wieder herzustellen.

Viel Spass mit extundelete!


Nachtrag:

Wiederherstellung einer Datei mit bekanntem Dateinamen (Datei und .Trash mit Nautilus gelöscht):



Ergebnis: Datei zu 100 % wiederhergestellt.


----------

Wiederherstellung einer Datei mit bekanntem Dateinamen (Datei per rm im Terminal gelöscht):



Ergebnis: Datei zu 100 % wiederhergestellt.

Den Test des Löschens durch Nautilus und rm hatte ich nochmal durchgeführt, da es in meinem ersten Test so erschien, als ob per rm gelöschte Dateien, nur mit kryptischen Dateinamen abgelegt werden. Hat sich aber nicht bestätigt.


Nachtrag 2:

Da im ersten Test (--restore-all) die .mpg Dateien als .png abgespeichert wurden, habe ich es noch einmal mit einer anderen Datei probiert und das läuft nun auch:



Ergebnis: Datei zu 100 % wiederhergestellt.

@floogy:

Vermutlich habe ich Dich nicht richtig verstanden. Aber eine Index-Datei zu erstellen, in der alle "gewünschten" Dateinamen erhalten sind, scriptest Du mit geschlossenen Augen, wo ich vermutlich nochmal nachschauen muss, bis es perfekt läuft.
Mit tripwire hab ich kaum Erfahrung und samhain sagt mir garnichts!



Aber wenn Du es probieren solltest, kannst Du ja berichten, falls es noch wer benötigt.

@DocHifi:

Kann ich gerne machen.


Paket wegen Altersschwäche entfernt.

@DocHifi:

Gern geschehen, das war in diesem Fall aber echt nicht wild. Kaum Abhängigkeiten und rasend schnell fertig. Wenn Du mal pidgin oder rhythmbox selber baust, weisste was ich meine!

Zitat von »floogy«

Aber interessant, dass das so gut klappt. Ich meine mich zu erinnern, gelesen zu haben, dass ext4 undelete nicht möglich sei.

Vielleicht meinst Du xfs. Darüber hab ich mal die gleiche Aussage gelesen, mich aber nicht näher damit beschäftigt.

Nachtrag:

Aber muss ja nicht alles stimmen, was so im Netz steht!

Klick mich!