解剖刀 基于 Foremost 开发的开源应用程序 恢复已删除的信息, 解剖刀 通过读取页眉和页脚定义的数据库并从一组图像文件或原始设备文件中提取匹配的文件或数据片段,显着提高了速度和效率。 解剖刀 与文件系统无关并且可以 r从 FATx、NTFS、ext2/3/4、HFS+ 恢复文件, 或者 原始分区. 这对两者都有用 数字取证调查 和 文件恢复.
解剖刀 是一个独立的工具文件系统。 它在 Linux 和 Mac OS 上可用,但也可以在 Windows 中使用,尽管需要编译它。
如何在 Ubuntu 12.04/12.10/13.04/13.10 和 Mint 13/14/15 上安装手术刀恢复工具
到 安装手术刀l 打开终端,输入以下命令:
# sudo apt-get install scalpel
在 CentOS 5.x/6.x 中安装 Scalpel 和 Fedora 15/16/17/18/19/
到 安装手术刀恢复工具 在 Centos 或 Fedora linux,您需要首先启用epel存储库并键入以下命令:
# yum install scalpel
如何使用手术刀恢复工具
在我们可以使用之前 解剖刀,我们必须定义一些文件类型 解剖刀 应该搜索 /etc/scalpel/scalpel.conf. 默认情况下,所有文件类型都被注释掉。 在这个例子中,我想搜索已删除的 jpg 文件,所以我取消注释以下几行:
# GIF and JPG files (very common) gif y 5000000 x47x49x46x38x37x61 x00x3b gif y 5000000 x47x49x46x38x39x61 x00x3b jpg y 200000000 xffxd8xffxe0x00x10 xffxd9
转到终端并输入以下语法。 ‘/dev/sda6’ 是设备所在的位置 文件 是 已经 已删除.
# sudo scalpel /dev/sda6 -o /home/rasho/Desktop/output/
示例输出:
Photorec 恢复在 RHEL/CentOS/ 上删除的文件Fedora 和 Ubuntu/Mint linux