Atgūstiet datus kā kriminālistikas eksperts, izmantojot Ubuntu Live CD

Ir daudz utilītu, lai atgūtu izdzēstos failus, bet ko darīt, ja nevarat palaist datoru vai viss disks ir formatēts? Mēs parādīsim dažus rīkus, kas iedziļināsies un atgūs visnetveramākos izdzēstos failus vai pat veselus cietā diska nodalījumus.

Mēs esam parādījuši vienkāršus veidus, kā atgūt nejauši izdzēsti faili , pat vienkārša metode ko var izdarīt no Ubuntu Live kompaktdiska, taču cietajiem diskiem, kas ir stipri bojāti, šīs metodes to neizjauks. Šajā rakstā mēs apskatīsim četrus rīkus, kas var atgūt datus no visvairāk sabojātajiem cietajiem diskiem neatkarīgi no tā, vai tie ir formatēti Windows, Linux vai Mac datoram vai pat tad, ja nodalījuma tabula ir pilnībā izdzēsta.

Piezīme. Šie rīki nevar atgūt datus, kas ir pārrakstīti cietajā diskā. Tas, vai izdzēstais fails ir pārrakstīts, ir atkarīgs no daudziem faktoriem — jo ātrāk sapratīsit, ka vēlaties atgūt failu, jo lielāka iespēja, ka to varēsit izdarīt.

Mūsu uzstādījums

Lai parādītu šos rīkus, esam iestatījuši nelielu 1 GB cieto disku, kurā puse no vietas ir sadalīta kā ext2 — failu sistēma, ko izmanto operētājsistēmā Linux, un puse vietas, kas sadalīta kā FAT32 — failu sistēma, ko izmanto vecākām Windows sistēmām. Katrā cietajā diskā mēs saglabājām desmit nejaušus attēlus.

Pēc tam mēs notīrījām nodalījumu tabulu no cietā diska, izdzēšot nodalījumus pakalpojumā GParted.

Vai mūsu dati tiek zaudēti uz visiem laikiem?

Instrumentu uzstādīšana

Reklāma

Visi rīki, kurus mēs izmantosim, ir Ubuntu Visums krātuve.

Lai iespējotu repozitoriju, atveriet Synaptic Package Manager, augšējā kreisajā stūrī noklikšķinot uz Sistēma, pēc tam uz Administrēšana > Synaptic Package Manager.

Noklikšķiniet uz Iestatījumi > Krātuves un atzīmējiet izvēles rūtiņu ar nosaukumu Kopienas uzturētā atvērtā pirmkoda programmatūra (visums).

Noklikšķiniet uz Aizvērt un pēc tam galvenajā Synaptic Package Manager logā noklikšķiniet uz pogas Pārlādēt. Kad pakotņu saraksts ir atkārtoti ielādēts un meklēšanas indekss ir atjaunots, meklējiet un atzīmējiet instalēšanai vienu vai visas tālāk norādītās pakotnes: testa disks , galvenais , un skalpelis .

Testdisks ietver TestDisk, kas var atgūt zaudētos nodalījumus un labot sāknēšanas sektorus, un PhotoRec, kas var atgūt dažādu veidu failus no daudzām dažādām failu sistēmām.

Galvenais , ko sākotnēji izstrādāja ASV Gaisa spēku Īpašo izmeklēšanas birojs, atgūst failus, pamatojoties uz to galvenēm un citām iekšējām struktūrām. Foremost darbojas uz cietajiem diskiem vai diska attēlu failiem, ko ģenerē dažādi rīki.

Reklāma

Visbeidzot, skalpelis veic tās pašas funkcijas kā galvenā, taču ir vērsta uz uzlabotu veiktspēju un mazāku atmiņas lietojumu. Skalpelis var darboties labāk, ja jums ir vecāka mašīna ar mazāku RAM.

Atkopt cietā diska nodalījumus

Ja nevarat pievienot cieto disku, iespējams, tā nodalījuma tabula ir bojāta. Pirms sākat mēģināt atgūt svarīgos failus, iespējams, ir iespējams atgūt vienu vai vairākus diska nodalījumus, atkopjot visus failus ar vienu darbību.

Testdisks ir darba rīks. Sāciet to, atverot termināli (Applications > Accessories > Terminal) un ierakstot:

sudo testdisk

Ja vēlaties, varat izveidot žurnālfailu, taču tas neietekmēs atkopto datu apjomu. Kad esat izdarījis izvēli, jūs sagaidīs ar jūsu iekārtā esošo datu nesēju sarakstu. Jums vajadzētu būt iespējai noteikt cieto disku, no kura vēlaties atgūt nodalījumus pēc tā izmēra un etiķetes.

TestDisk prasa atlasīt meklējamās nodalījuma tabulas veidu. Vairumā gadījumu (ext2/3, NTFS, FAT32 utt.) jāizvēlas Intel un jānospiež Enter.

Iezīmējiet Analyze un nospiediet enter.

Mūsu gadījumā mūsu mazais cietais disks iepriekš ir formatēts kā NTFS. Pārsteidzoši, ka TestDisk atrod šo nodalījumu, lai gan nevar to atgūt.

Reklāma

Tas arī atrod divus nodalījumus, kurus tikko izdzēsām. Mēs varam mainīt to atribūtus vai pievienot papildu nodalījumus, taču mēs tos atgūsim, nospiežot taustiņu Enter.

Ja TestDisk nav atradis visus jūsu nodalījumus, varat mēģināt veikt dziļāku meklēšanu, atlasot šo opciju ar kreiso un labo bulttaustiņu. Mums bija tikai šie divi nodalījumi, tāpēc mēs tos atgūsim, atlasot Rakstīt un nospiežot taustiņu Enter.

Testdisk informē mūs, ka mums būs jārestartē.

Piezīme. Ja jūsu Ubuntu Live CD nav neatlaidīgs , tad, atsāknējot, jums būs atkārtoti jāinstalē visi iepriekš instalētie rīki.

Pēc restartēšanas abi mūsu nodalījumi atgriežas sākotnējā stāvoklī, attēli un viss.

Atkopt noteikta veida failus

Tālāk norādītajos piemēros mēs izdzēsām 10 attēlus no abiem nodalījumiem un pēc tam tos pārformatējām.

PhotoRec

No trim rīkiem, ko mēs parādīsim, PhotoRec ir lietotājam draudzīgākā, lai gan tā ir uz konsole balstīta utilīta. Lai sāktu failu atkopšanu, atveriet termināli (Applications > Accessories > Terminal) un ierakstiet:

sudo photorec

Reklāma

Lai sāktu, jums tiek lūgts atlasīt atmiņas ierīci, kurā meklēt. Jums vajadzētu būt iespējai noteikt pareizo ierīci pēc tās izmēra un etiķetes. Atlasiet pareizo ierīci un pēc tam nospiediet taustiņu Enter.

PhotoRec prasa atlasīt meklējamā nodalījuma veidu. Vairumā gadījumu (ext2/3, NTFS, FAT u.c.) jāizvēlas Intel un jānospiež Enter.

Jums tiek parādīts atlasītā cietā diska nodalījumu saraksts. Ja vēlaties atgūt visus nodalījumā esošos failus, atlasiet Meklēt un nospiediet taustiņu Enter.

Tomēr šis process var būt ļoti lēns, un mūsu gadījumā mēs vēlamies meklēt tikai attēlu failus, tāpēc mēs izmantojam labo bulttaustiņu, lai atlasītu File Opt un nospiediet Enter.

PhotoRec var atgūt dažādu veidu failus, un katra atlases atcelšana aizņems ilgu laiku. Tā vietā mēs nospiežam s, lai notīrītu visas atlases, un pēc tam atrodam atbilstošos failu tipus — jpg, gif un png — un atlasiet tos, nospiežot labo bulttaustiņu.

Kad esam atlasījuši šos trīs, mēs nospiežam b, lai saglabātu šīs atlases.

Reklāma

Nospiediet enter, lai atgrieztos cietā diska nodalījumu sarakstā. Mēs vēlamies meklēt abos mūsu nodalījumos, tāpēc mēs iezīmējam Nav partition un Search un pēc tam nospiediet taustiņu Enter.

PhotoRec pieprasa vietu, kur saglabāt atkoptos failus. Ja jums ir cits vesels cietais disks, mēs iesakām tajā saglabāt atkoptos failus. Tā kā mēs ļoti neatgūstam, mēs to saglabāsim Ubuntu Live CD darbvirsmā.

Piezīme. Neatkopiet failus cietajā diskā, no kura veicat atkopšanu.

PhotoRec spēj atgūt 20 attēlus no mūsu cietā diska nodalījumiem!

Ātra apskate tā izveidotajā direktorijā recup_dir.1 apstiprina, ka PhotoRec ir atkopis visus mūsu attēlus, izņemot failu nosaukumus.

Galvenais

Foremost ir komandrindas programma bez interaktīva interfeisa, piemēram, PhotoRec, bet piedāvā vairākas komandrindas opcijas, lai iegūtu pēc iespējas vairāk datu no sava diska.

Reklāma

Lai iegūtu pilnu opciju sarakstu, kuras var pielāgot, izmantojot komandrindu, atveriet termināli (Lietojumprogrammas> Piederumi> Terminālis) un ierakstiet:

galvenais –h

Mūsu gadījumā komandrindas opcijas, kuras mēs izmantosim, ir:

-t, ar komatu atdalīts meklējamo failu tipu saraksts. Mūsu gadījumā tas ir jpeg, png, gif.
-v, iespējo verbose-mode, sniedzot mums vairāk informācijas par to, ko galvenais dara.
-o, izvades mape, kurā glabāt atgūtos failus. Mūsu gadījumā mēs izveidojām direktoriju, ko sauc par galveno uz darbvirsmas.
-i, ievade, kurā tiks meklēti faili. Tas var būt diska attēls vairākos dažādos formātos; tomēr mēs izmantosim cieto disku, /dev/sda.

Mūsu galvenais aicinājums ir:

sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Jūsu izsaukums atšķirsies atkarībā no tā, ko jūs meklējat un kur to meklējat.

Foremost spēj atgūt 17 no 20 cietajā diskā saglabātajiem failiem.

Aplūkojot failus, mēs varam apstiprināt, ka šie faili tika atkopti salīdzinoši labi, lai gan mēs redzam dažas kļūdas 00622449.jpg sīktēlā.

Daļa no tā var būt saistīta ar ext2 failu sistēmu. Galvenais iesaka izmantot komandrindas opciju –d tādām Linux failu sistēmām kā ext2.

Reklāma

Mēs atkal darbosimies kā galvenais, mūsu galvenajam izsaukumam pievienojot komandrindas opciju –d:

sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Šoreiz galvenais spēj atgūt visus 20 attēlus!

Pēdējais attēlu apskats atklāj, ka attēli tika atgūti bez problēmām.

Skalpelis

Skalpelis ir vēl viena spēcīga programma, kas, tāpat kā Foremost, ir ļoti konfigurējama. Atšķirībā no Foremost, Scalpel pirms datu atkopšanas ir jārediģē konfigurācijas fails.

To darīs jebkurš teksta redaktors, taču mēs izmantosim gedit, lai mainītu konfigurācijas failu. Termināļa logā (Applications > Accessories > Terminal) ierakstiet:

sudo gedit /etc/scalpel/scalpel.conf

Scalpel.conf satur informāciju par vairākiem dažādiem failu tipiem. Ritiniet šo failu un noņemiet komentārus rindas, kas sākas ar faila tipu, kuru vēlaties atgūt (t.i., noņemiet rakstzīmi # šo rindu sākumā).

Reklāma

Saglabājiet failu un aizveriet to. Atgriezieties termināļa logā.

Scalpel ir arī daudz komandrindas opciju, kas var palīdzēt ātri un efektīvi meklēt; tomēr mēs tikai definēsim ievades ierīci (/dev/sda) un izvades mapi (mapi, ko sauc par skalpeli, kuru izveidojām uz darbvirsmas).

Mūsu aicinājums ir:

sudo skalpelis / dev / sda –o skalpelis

Skalpelis spēj atgūt 18 no mūsu 20 failiem.

Ātri aplūkojot atgūtos failus, atklājas, ka lielākā daļa mūsu failu tika veiksmīgi atkopti, lai gan bija dažas problēmas (piemēram, 00000012.jpg).

Secinājums

Mūsu ātrajā rotaļlietu piemērā TestDisk varēja atgūt divus izdzēstos nodalījumus, un PhotoRec un Foremost spēja atgūt visus 20 izdzēstos attēlus. Skalpelis atguva lielāko daļu failu, taču ļoti iespējams, ka spēlēšanās ar skalpeļa komandrindas opcijām būtu ļāvusi mums atgūt visus 20 attēlus.

Šie rīki ir glābēji, ja jūsu cietajā diskā kaut kas noiet greizi. Ja jūsu dati kaut kur atrodas cietajā diskā, kāds no šiem rīkiem tos izsekos!

LASĪT TĀLĀK