Определите все удаленные файлы и папки в командной строке

Можете ли вы говорить с мертвыми?

Почти то же самое, что происходит с удаленными файлами ... Практически невозможно. Когда файл удален, он просто исчез. В большинстве систем это нигде не регистрируется.

Если вы используете rm из командной строки, система обычно не запрашивает подтверждения перед удалением файлов.

Если вы удалили файлы с помощью инструмента с графическим интерфейсом, они все еще могут находиться в «мусорном ведре». Это зависит от того, что вы используете для рабочего стола.

Если вы заинтересованы в восстановлении удаленных файлов, возможно, вам помогут следующие вопросы и ответы:

• Как восстановить удаленные файлы?

Тем не менее, существует инструмент под названием inotifywait, который можно использовать для прослушивания событий, происходящих в указанном каталоге. Чтобы отслеживать удаленные файлы и папки, используйте следующую команду:

inotifywait -m -r -e delete dir_name > deleted_files.log

для записи удаленных файлов из каталога dir_name в файл deleted_files.log.

Чтобы установить inotifywait, используйте:

sudo apt-get install inotify-tools

Источник: Как узнать, какие файлы и папки были недавно удалены в Linux?

Похоже, вы говорите о судебных инструментах из The Sleuth Kit (TKS) . Существует пакет sleuthkit, который доступен из стандартного репозитория Ubuntu, поэтому первым делом убедитесь, что он установлен. Вероятно, инструмент fls является лучшей отправной точкой, чем blkcat:

DESCRIPTION
       fls lists the files and directory names in the image  and  can  display
       file  names of recently deleted files for the directory using the given
       inode.  If the inode argument is not given, the  inode  value  for  the
       root directory is used. For example, on an NTFS file system it would be
       5 and on a Ext3 file system it would be 2.

После этого я действительно не могу вам помочь, но есть онлайн вики , и эта статья Почему восстановление удаленного файла Ext3 затруднительно должно помочь вам начать работу.