Конечно, давай посмотрим эти записи, попробуем выудить из них хоть какие-то закономерности.

Ладно, давай начнём с загрузки новой системы, подключим диск и смонтируем его только на чтение, чтобы не рисковать повредить данные. Потом запустим быструю команду `ls -lR`, чтобы посмотреть, какие файлы там есть, а дальше передадим вывод в утилиту, которая вытащит поля с временем и размером. После этого отсортируем эти колонки, посмотрим на повторяющиеся интервалы или кластеры размеров и отметим всё, что вызовет подозрения. Если метаданные разбросаны по всему, то используем скрипт, чтобы привести даты к единому формату перед сортировкой — чтобы сравнение было честным. Когда список будет готов, поищем любые регулярные пропуски или повторяющиеся значения, которые могут намекать на скрытую структуру. Как тебе?

Понял. Монтируй диск командой `mount -o ro /dev/sdx1 /mnt/backup`, чтобы ничего не записывалось. Потом запусти `find /mnt/backup -printf '%TY-%Tm-%Td %TH:%TM:%TS %s %p\n' | sort`, чтобы получить даты, время и размеры файлов в одном упорядоченном списке. Подадим это на быстрый скрипт на Python или awk, чтобы выявить регулярные интервалы или кластеры размеров. Получится таблица в простом текстовом формате; сможем просканировать ее на предмет повторяющихся паттернов или пропусков, которые могут указать на скрытый график или частоту бэкапов. Так мы оставим оригинал нетронутым, но при этом сможем проанализировать данные для поиска подсказок. Давай получим этот дамп и начнем копать.

Сейчас запускаю команду find, вывожу результат в небольшой awk-скрипт: он собирает метку времени и размер каждого файла. Как только данные окажутся в текстовом файле, я запущу ещё один awk-скрипт, который сгруппирует их по часам и выведет часы, в которых больше одного файла. Это даст нам примерное представление о частоте резервного копирования. Жми Enter и посмотрим, что получится.