найти удалённый файл

есть ли в принципе шансы?

В принципе есть. Текстовые файлы можно искать grep'ом. Ну и там всякие undelete, если имеются для данной ФС. Только вот

за много лет

наверняка означает фрагментированность файла.

Я ещё надеюсь на что-то более продвинутое, чем grep. Хотя шансы тают: sleuth kit не видит в каталоге удалённых файлов.

Эти специализированные штуки ориентированы на бинарные файлы. «Умный» поиск удалённых текстовых файлов в unix-системах, где их тучи — та ещё задачка, IMHO.

photorec пробовали?

photorec например найдет текстовые файлы, а вы их потом грепните.

Подумал ещё раз и решил делать именно через dd.

Написал простенький скрипт. Сначала подсчитывает количество секторов в файле, затем цикл

for ((a=0;a< к-во_секторов; a++)); do
dd if=fs.raw bs=512 count=1 skip=$a 2>/dev/null | \
grep <имя почтового демона> >/dev/null 2>&1 && \
if=fs.raw of=log_cjunks/$a.chunk bs=512 count=1 skip=$a ;
done

Потом ещё раз grep'ну результаты боле подробно, perl'ом вытащу оттуда первую же дату, отсортирую по дате и склею

Есть всякие ext3grep, которыми можно поискать текстовые файлы.

>В принципе, эти логи мне нафиг не сдались, эту вм я почти не использую, но из спортивного интереса хочется

Так вот ты какой, красноглазый северный админ!

Выходные, задач мало, помему б не покрасноглазить :)