![パーティションから削除されたデータを回復する方法[閉じる]](https://linux33.com/image/40818/%E3%83%91%E3%83%BC%E3%83%86%E3%82%A3%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%8B%E3%82%89%E5%89%8A%E9%99%A4%E3%81%95%E3%82%8C%E3%81%9F%E3%83%87%E3%83%BC%E3%82%BF%E3%82%92%E5%9B%9E%E5%BE%A9%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95%5B%E9%96%89%E3%81%98%E3%82%8B%5D.png)
Pythonプログラムの助けを借りて、パーティションから削除されたデータを回復したいと思います。
削除時にファイルの inode 情報のみが削除され、削除時に該当ビットは 0 で上書きされないことがわかります。しかし、そのパーティションにアクセスしてそこからデータを取得する方法は?
ファイル削除の問題を処理したい。 ext4ファイルシステムを使用しています。
これはサイバーフォレンジックコースの一部です。しかし、先生はこれを行う方法を知りませんでした。私たちは回復のために既製のツールを使用するように頼まれましたが、ソースを見ることができなかったので、学生としては理解できませんでした。だから私はそれに対応する回復ツールを書くことができたらと思います。
答え1
既存のツールから始めることをお勧めします。すべてオープンソースなので、どのように書かれたのかを見ることができます。
最初から独自のユーティリティを作成したい場合は、次のページを読んで理解することから始めることをお勧めします。
https://ext4.wiki.kernel.org/index.php/Ext4_Disk_Layout
このページは不完全であり、実際のカーネルドライバコードを参照する必要があるかもしれません。