数据恢复(三)-linux快速查找最近被删除的文件
上周溯源某挖矿case,在排查过程中发现挖矿文件被人为删除。最终通过确定文件被删除的时间以缩小排查ssh登录的时间范围从而锁定了可疑ip。该case引发了我的思考,linux下如何查找最近被删除的文件?本文是数据恢复的第三篇文章,只是快速找到被删除文件,并不涉及如何恢复文件本身。
阅读更多数据恢复(二)-linux下ext文件系统数据恢复思路深入分析
在上一篇文章《数据恢复(一)-linux下ext文件系统数据删除原理浅析》中分析了ext数据删除的原理,这篇文章中会结合实例分析数据恢复的原理。
阅读更多数据恢复(一)-linux下ext文件系统数据删除原理浅析
阅读更多应急工作中经常会遇到日志或关键信息文件等被删除的情况,为溯源排查带来了不小的阻碍。但是大多数文件被删除的情况都并非真正意义上的删除(除非文件block位置已经被覆盖),数据还在磁盘上都是有恢复的可能。本文对linux下文件系统的文件删除机制并结合相关删除的案例进行分析。
导语