分类目录数据恢复

└─# vol -f sample.mem linux.pstree.PsTree
Volatility 3 Framework 2.11.0
Progress:  100.00               Stacking attempts finished                 
Unsatisfied requirement plugins.PsTree.kernel.layer_name: 
Unsatisfied requirement plugins.PsTree.kernel.symbol_table_name: 

A translation layer requirement was not fulfilled.  Please verify that:
        A file was provided to create this layer (by -f, --single-location or by config)
        The file exists and is readable
        The file is a valid memory image and was acquired cleanly

A symbol table requirement was not fulfilled.  Please verify that:
        The associated translation layer requirement was fulfilled
        You have the correct symbol file for the requirement
        The symbol file is under the correct directory or zip file
        The symbol file is named appropriately or contains the correct banner

Unable to validate the plugin requirements: ['plugins.PsTree.kernel.layer_name', 'plugins.PsTree.kernel.symbol_table_name']

vol3分析Linux内存通常都会遇到上面的报错，就是缺少对应的系统符号表。但网上介绍Volatility3的文章大部分都是都把工具的命令行翻译成中文，当真的去实操vol分析内存时会发现有太多的坑，因为分析内存是需要当前系统的符号表。

vol3自带的Linux符号表非常少，而Linux的kernel版本又非常众多，大多数情况都需要在对应的机器上手动导出符号表才能开始分析内存。

最近遇到的有系统被全盘（ext4）删除的案例，拿到了被删除的系统镜像，该文件系统受损程度是很大的，正好把Linux大部分的数据恢复工具都测评一遍，看看极端场景下的各类数据恢复工具的表现情况。

上一篇文章中对PDF文件结构进行分析，那么实战中遇到PDF损坏的情况该如何进行手工或工具修复？

PDF（Portable Document Format）文件是一种用于文档传输和显示的文件格式，也是结构性的文件。通过本文的分析，可以清楚PDF的文件结构和对象寻址原理，对于PDF的文件修复思路也能有自己的见解。

某客户系统文件被勒索后，通过分析发现文件的头部全0填充了256kb。但是文件的主体内容还在，也就意味着可以通过数据恢复的方式进行文件修复。本文通过对mdf文件进行修复，成功帮客户成功恢复几个G的数据库，最大程度上降低损失。

案例背景

本文以USB设备为例，对磁盘镜像进行数据恢复。

ext2/ext3/ext4 文件系统调试器

debugfs

在不依赖第三方数据恢复软件的情况下，linux自带适用于常规数据恢复的程序当属debugfs。该命令功能强大，在我数据恢复系列的前几篇文章中频繁提到。但是国内对debugfs详细使用介绍较少且不全面。故专门用一篇文章来介绍debugfs使用，可以对数据恢复有更深刻的理解。