Linux硬盘文件分析取证(恢复文件)

背景介绍
某犯罪人员将重要数据放在电脑硬盘中，但我们拿到硬盘时，里面的内容已经被删除
下载解压到本地，然后传到VPS或者虚拟机里：

要先计算偏移量：
fdisk bf.img
输入p
得出：2048*512
再用命令：
mount -o loop,offset=1048576 bf.img /mnt/
千万不能输错数字，惨痛教训搞了一下午
然后/dev文件夹下面多了个loop0或者loop1恢复这个分区的数据
使用 extundelete 对Linux误删的数据进行恢复

1.首先到官网下载 extundelete 的 包 extundelete-0.2.4.tar.bz2

地址为 https://sourceforge.net/projects/extundelete/files/latest/download 这个版本已经是最终版了

2.下载完上传到你的服务器并进行解压，解压命令为

tar -jxvf extundelete-0.2.4.tar.bz2

然后进入 extundelete-0.2.4 文件夹，执行 ./configure 进行配置安装

如果你执行的时候出现如下问题，那么你需要安装一下依赖库
安装一下这个依赖 yum install e2fsprogs-devel

然后再次执行即可成功，成功再执行 make , 之后再执行 make install 到此为止，extundelete 工具就安装完成了

安装完会在 /usr/local/bin 和当前的 src/ 下生成一个 extundelete 执行文件
在命令行执行如下命令：
extundelete /dev/loop0 —restore-all
cd /mnt
最后再key.txt里面找到