恢復Linux誤刪除文件系列之scalpel工具

真對那些沒有日誌機制的舊有文件系統，scalpel 工具是一個很好的選擇。scalpel 是快速文件恢復工具，經過讀取文件系統的數據庫來恢復文件。它是獨立於文件系統的。
[root@rhel6 ~]# wget https://codeload.github.com/machn1k/Scalpel-2.0/zip/master
[root@rhel6 ~]# unzip Scalpel-2.0-master.zip 
[root@rhel6 ~]# cp Scalpel-2.0-master /usr/src/ -r
[root@rhel6 ~]# cd /usr/src/Scalpel-2.0-master/
[root@rhel6 Scalpel-2.0-master]# ./configure
[root@rhel6 Scalpel-2.0-master]# make && make install

使用 scalpel 工具以前，首先要修改配置文件： /etc/scalpel/scalpel.conf。
例如用戶要恢復全部刪除 pdf 文件，那麼要編輯配置文件將 pdf 兩行以前註釋去掉。
[root@rhel6 ~]# vim  /etc/scalpel/scalpel.conf。
[...]
        pdf     y       5000000 %PDF  %EOF\x0d  REVERSE
        pdf     y       5000000 %PDF  %EOF\x0a  REVERSE
[...]

使用方法：
[root@rhel6 ~]# scalpel /dev/sdb1 -o /RECOVERY/
其中/dev/sdb1 是目標驅動器，/RECOVERY/ 是恢復文件存儲目錄。目錄下的 audit.txt 文件是恢復文件列表。

切記：硬盤有價，數據無價！！