آموزش بازیابی فایل‌های حذف‌شده در لینوکس با ابزار پرینت

## 🛠️ آموزش بازیابی فایل‌های حذف‌شده در لینوکس با ابزار Scalpel

آیا به‌طور تصادفی فایل مهمی را در لینوکس حذف کرده‌اید؟
نگران نباشید، ابزار **Scalpel** یکی از ابزارهای قوی و سریع برای بازیابی فایل‌های حذف‌شده (Data Carving) در سیستم‌های لینوکسی است.

---

## 🔎 Scalpel چیست؟

**Scalpel** یک ابزار متن‌باز برای بازیابی فایل‌های حذف‌شده است که با استفاده از تکنیک **Data Carving** فایل‌هایی مانند تصاویر، ویدیوها، متون، اسناد و... را حتی اگر فایل‌سیستم آسیب دیده باشد، از دیسک استخراج می‌کند.

---

## 🧰 ویژگی‌های Scalpel

- پشتیبانی از انواع فایل‌سیستم (ext4, NTFS, FAT و...)
- امکان بازیابی فایل‌های مشخص (مثلاً فقط عکس یا PDF)
- قابل استفاده روی هارددیسک، فلش، ایمیج‌های دیسک (ISO, DD)
- سبک، سریع و بدون نیاز به محیط گرافیکی

---

## 🛠️ نصب Scalpel در لینوکس

### 🔹 در Debian / Ubuntu:

```bash
sudo apt update
sudo apt install scalpel
```

### 🔹 در RHEL / CentOS / Fedora:

```bash
sudo dnf install scalpel
```

---

## ⚙️ نحوه استفاده از Scalpel

### 1. ویرایش فایل پیکربندی

فایل پیکربندی Scalpel تعیین می‌کند چه نوع فایل‌هایی بازیابی شوند.

```bash
sudo nano /etc/scalpel/scalpel.conf
```

در این فایل، خطوط مربوط به فرمت‌های دلخواه را **از حالت کامنت خارج کنید**. مثلاً:

```
jpg y 20000000 \xff\xd8\xff\xe0\x00\x10JFIF
pdf y 10000000 %PDF
```

این یعنی فقط فایل‌های JPG و PDF بازیابی شوند.

---

### 2. اجرای دستور بازیابی

دستور کلی:

```bash
sudo scalpel [دستگاه یا ایمیج] -o [پوشه خروجی]
```

مثال:

```bash
sudo scalpel /dev/sda1 -o /home/backup/recovered
```

یا اگر از فایل ایمیج استفاده می‌کنید:

```bash
sudo scalpel disk-image.dd -o /home/user/recovery
```

> 🔔 حتماً مطمئن شوید که پوشه خروجی از قبل وجود ندارد. Scalpel آن را ایجاد می‌کند.

---

### 3. مشاهده نتایج

پس از اتمام عملیات، فایل‌های بازیابی شده در پوشه‌ی خروجی ذخیره می‌شوند.
در فایل `audit.txt` داخل همان مسیر، لیست فایل‌های بازیابی‌شده و وضعیت عملیات ثبت شده است.

---

## ⚠️ نکات مهم و محدودیت‌ها

| نکته | توضیح |
|------|-------|
| ⛔ از نوشتن روی همان پارتیشن هدف خودداری کنید | هرگونه نوشتن می‌تواند داده‌های قابل بازیابی را خراب کند |
| 🧪 روی ایمیج دیسک کار کنید | از `dd` استفاده کنید تا یک کپی باینری از دیسک تهیه کرده و روی آن کار کنید |
| 📁 فقط فایل‌هایی با امضای شناخته‌شده (Signature) بازیابی می‌شوند | Scalpel ساختار فایل‌ها را نمی‌فهمد، فقط به الگوی بایت توجه دارد |
| 🧠 بازیابی ۱۰۰٪ تضمینی نیست | شانس بازیابی بستگی به زمان حذف و حجم داده‌های جدید دارد |

---

## ✅ نتیجه‌گیری

ابزار **Scalpel** یک گزینه‌ی سبک، سریع و مؤثر برای بازیابی فایل‌های حذف‌شده در لینوکس است، به‌ویژه زمانی که سیستم فایل آسیب دیده یا فایل به‌طور کامل پاک شده باشد. با کمی تنظیم دقیق فایل پیکربندی و اجتناب از نوشتن روی دیسک، می‌توانید شانس بالایی برای بازگرداندن اطلاعات خود داشته باشید.