Вы можете использовать утилиту debugfs
,
debugfs - это простая в использовании файловая система на основе ОЗУ, специально разработанная для целей отладки
Сначала запустите debugfs / dev / sda2
в вашем терминале (заменив / dev / sda2
вашим собственным разделом).
В режиме отладки вы можете использовать команду lsdel
для вывода списка индексных дескрипторов, соответствующих удаленным файлам.
Когда файлы удаляются в Linux, они только не связываются, но их inodes (адреса на диске, где файл фактически присутствует) не удаляются
Чтобы получить пути этих удаленных файлов вы можете использовать debugfs -R "ncheck 320236"
, заменив номер вашим конкретным индексным дескриптором.
Inode Pathname
320236 /path/to/file
Отсюда вы также можете проверить содержимое удаленных файлов с помощью cat
. (ПРИМЕЧАНИЕ: вы также можете восстановить отсюда, если необходимо).
Ссылка здесь .
В качестве меры предосторожности используйте Inotify Tools . затем вы можете использовать команду inotifywait
для прослушивания событий, происходящих в указанном каталоге.
В частности, если вы хотите следить за удаленными файлами и папками, используйте этот
inotifywait -m -r -e delete directory_name
и записывайте этот вывод в какой-нибудь файл.
И еще я бы порекомендовал вам поискать iwatch .