17Aug

Oporavak podataka poput stručnjaka za forenziku Korištenje Ubuntu Live CD-a

Postoji mnogo uslužnih programa za oporavak izbrisanih datoteka, ali što ako ne možete pokrenuti računalo ili je formatiran cijeli pogon? Pokazat ćemo vam neke alate koji će kopati duboko i oporaviti najteže izbrisane datoteke ili čak čitave particije tvrdog diska.

Pokazali smo vam jednostavne načine za oporavak slučajno izbrisanih datoteka, čak i jednostavnu metodu koja se može izvesti s Ubuntu Live CD-a, ali za tvrde diskove koji su bili jako oštećeni, te metode neće smanjiti. U ovom članku ispitat ćemo četiri alata koji mogu oporaviti podatke od najčešće zabrljanih tvrdih diskova, bez obzira na to jesu li formatirani za Windows, Linux ili Mac računalo ili čak i ako je tablica particija potpuno izbrisana.

Napomena: Ovi alati ne mogu oporaviti podatke koji su prebrisani na tvrdom disku. Je li izbrisana datoteka prebrisana ovisi o mnogim čimbenicima - što brže shvatite da želite oporaviti datoteku, to je vjerojatnije da ćete to moći učiniti.

Naše postavljanje

Da bismo vam pokazali ove alate, postavili smo mali 1 GB tvrdi disk s pola prostora koji je podijeljen kao ext2, datotečni sustav koji se koristi u Linuxu, a polovica prostora podijeljena kao FAT32, datotečni sustav koji se koristi ustarije Windows sustave. Na svakom tvrdom disku smo pohranili deset slučajnih slika.

Zatim smo obrisali particijsku tablicu s tvrdog diska brisanjem particija u GParted-u.

Jesu li podaci izgubljeni zauvijek?

Instaliranje alata

Svi alati koje namjeravamo koristiti nalaze se u Ubuntuovom univerzumu repozitorija.

Da biste omogućili repozitorij, otvorite Synaptic paketni menadžer tako da kliknete System( Sustav) u gornjem lijevom dijelu, a zatim Upravljačka ploča & gt;Upravitelj Synaptic paketa.

Kliknite Postavke & gt;Repozitorije i dodajte ček u okvir pod nazivom "Softver otvorenog izvornog softvera( svemir) koji se održava u zajednici".

Kliknite Zatvori, a zatim u glavnom prozoru Synaptic Package Managera kliknite gumb Ponovno učitaj. Nakon što se popis paketa ponovno učita i indeks pretraživanja ponovno obnovi, traži i označi za instalaciju jedan ili sve sljedeće pakete: testdisk , isprva i skalpel .

Testdisk uključuje TestDisk, koji može oporaviti izgubljene particije i popravak sektora za pokretanje, a PhotoRec, koji može oporaviti mnoge različite vrste datoteka od tona različitih datoteka sustava.

Prvenstveno , izvorno razvijen od strane Ureda za specijalne istrage američkog ratnog zrakoplovstva, oporavlja datoteke na temelju njihovih zaglavlja i drugih unutarnjih struktura. Najvažnije djeluje na tvrdim diskovima ili disk image datotekama koje generiraju razni alati.

Konačno, skalpel obavlja iste funkcije kao najvažniji, ali je usredotočen na poboljšane performanse i manju potrošnju memorije. Skalpel može raditi bolje ako imate stariji stroj s manje RAM-a.

Obnova particija tvrdog diska

Ako ne možete montirati svoj tvrdi disk, njezina tablica particija možda je oštećena. Prije nego što počnete pokušavati oporaviti vaše važne datoteke, možda će biti moguće obnoviti jednu ili više particija na vašem pogonu i vratiti sve vaše datoteke jednim korakom.

Testdisk je alat za posao. Pokrenite ga otvaranjem terminala( aplikacije & gt; Pomagala & gt; Terminal) i upišete:

sudo testdisk

Ako želite, možete stvoriti datoteku zapisnika, iako to neće utjecati na količinu podataka koje ste oporavili. Nakon što napravite svoj izbor, pozdravljat će vam se popis medija za pohranu na vašem računalu. Trebali biste biti u stanju prepoznati tvrdi disk koji želite obnoviti particije po svojoj veličini i naljepnici.

TestDisk traži da odaberete vrstu tablice particija za traženje. U većini slučajeva( ext2 / 3, NTFS, FAT32 itd.) Trebate odabrati Intel i pritisnite Enter. Označite Analiziraj i pritisnite enter.

U našem slučaju, naš mali tvrdi disk prethodno je formatiran kao NTFS.Nevjerojatno, TestDisk pronalazi ovu particiju, iako ga ne može oporaviti.

Također pronalazi dvije particije koje smo upravo izbrisali. Možemo mijenjati svoje atribute ili dodati više particija, ali ćemo ih samo vratiti pritiskom na Enter.

Ako TestDisk nije pronašao sve vaše particije, možete pokušati dublje pretražiti odabirom te opcije pomoću lijevih i desnih tipki sa strelicama. Imali smo samo ove dvije particije, pa ćemo ih vratiti tako da odaberemo Zapis i pritisnemo Enter.

Testdisk nas obavještava da ćemo morati ponovno pokrenuti sustav.

Napomena: Ako vaš Ubuntu Live CD nije uporan, tada ćete nakon ponovnog pokretanja morati ponovno instalirati sve instalacije koje ste ranije instalirali.

Nakon ponovnog pokretanja, obje naše particije se vraćaju na njihove izvorne države, slike i sve.

Oporavak datoteka određenih vrsta

Za sljedeće primjere smo izbrisali 10 slika s obje particije i zatim ih preoblikovali.

PhotoRec

Od tri alata koji ćemo prikazati, PhotoRec je najkompliciraniji, unatoč uslužnom programu utemeljenoj na konzoli. Da biste započeli s oporavkom datoteka, otvorite terminal( aplikacije & gt; Pomagala & gt; Terminal) i upišite:

sudo photorec

Za početak, od vas se traži da odaberete uređaj za pohranu za pretraživanje. Trebali biste biti u stanju prepoznati odgovarajući uređaj po svojoj veličini i naljepnici. Odaberite pravi uređaj, a zatim pritisnite tipku Enter.

PhotoRec traži odabir vrste particije za pretraživanje. U većini slučajeva( ext2 / 3, NTFS, FAT itd.) Trebate odabrati Intel i pritisnite Enter.

Dajete popis particija na odabranom tvrdom disku. Ako želite obnoviti sve datoteke na particiji, odaberite Search i pritisnite enter.

Međutim, taj proces može biti vrlo sporo, a za nas samo želimo tražiti datoteke slika, pa umjesto toga koristimo desnu tipku sa strelicom za odabir File Opt i pritisnite Enter.

PhotoRec može oporaviti mnoge različite vrste datoteka, a poništavanje svakog od njih bi trebalo dugo vremena. Umjesto toga, pritisnite "s" da brišete sve odabire, a zatim pronađete odgovarajuće vrste datoteka - jpg, gif i png - i odaberite ih pritiskom na tipku desne strelice.

Kad odaberemo ova tri, pritisnite "b" da biste spremili ove odabire.

Pritisnite Enter da biste se vratili na popis particija tvrdog diska.Želimo pretražiti obje naše particije, tako da istaknemo "Nema particiju" i "Traži", a zatim pritisnite tipku Enter.

PhotoRec traži lokaciju za pohranu obnovljenih datoteka. Ako imate drukčiji zdravi tvrdi disk, preporučujemo da spremljene datoteke spremite tamo. Budući da se ne oporavljamo jako puno, spremit ćemo ga na radnu površinu Ubuntu Live CD-a.

Napomena: Nemojte vratiti datoteke na tvrdi disk s kojeg se oporavljaš.

PhotoRec može oporaviti 20 slika s particija na tvrdom disku!

Brz izgled u recup_dir.1 direktoriju koji stvara potvrđuje da je PhotoRec oporavio sve naše slike, osim imena datoteka.

Najvažnija

Najvažniji je program naredbenog retka bez interaktivnog sučelja kao što je PhotoRec, ali nudi brojne opcije naredbenog retka kako biste dobili što više podataka od vašeg pogona.

Za potpuni popis mogućnosti koje možete zamijeniti putem naredbenog retka, otvorite terminal( Applications & gt; Accessories & gt; Terminal) i upišite:

prije svega -h

U našem slučaju, opcije naredbenog retka koje idemoza upotrebu su:

  • -t, popis vrsta datoteka koje se traži odvojeni zarezom. U našem slučaju ovo je "jpeg, png, gif".
  • -v, omogućujući verbose-mode, dajući nam više informacija o tome što prije radi.
  • -o, izlazna mapa za spremanje obnovljenih datoteka. U našem smo slučaju stvorili imenik pod nazivom "najistaknutiji" na radnoj površini.
  • -i, ulaz koji će se tražiti za datoteke. To može biti slika diska u nekoliko različitih formata;međutim, koristit ćemo tvrdi disk, /dev/ sda.

Naša prva pozivnica je:

sudo foremost -t jpeg, png, gif -o najvažnije -v -i /dev/ sda

Vaša pozivnica će se razlikovati ovisno o tome što tražite i gdje ga tražite.

Najprije je u stanju oporaviti 17 od 20 datoteka pohranjenih na tvrdom disku.

Gledajući datoteke, možemo potvrditi da su te datoteke relativno dobro oporavljene, iako ćemo vidjeti neke pogreške u sličicama za 00622449.jpg.

Dio ovog može biti zbog ext2 datotečnog sustava. Prije svega preporučuje se korištenje opcije naredbenog retka -d za Linux datotečne sustave poput ext2.

Ponovno ćemo pokrenuti, dodajući -d opciju naredbenog retka na našu najistaknutiju poziv:

sudo foremost -t jpeg, png, gif -d -o najvažnije -v -i /dev/ sda

Ovaj put, prije svega, možeobnova svih 20 slika!

Konačni pogled na slike otkriva da su slike bile oporavljene bez ikakvih problema.

Scalpel

Scalpel je još jedan snažan program koji, kao i Foremost, je jako podesiv. Za razliku od Prvo, Scalpel zahtijeva da uredite konfiguracijsku datoteku prije pokušaja bilo kakvog oporavka podataka.

Svaki tekst editor će učiniti, ali ćemo koristiti gedit za promjenu konfiguracijske datoteke. U terminalnom prozoru( Programi & gt; Pribor & gt; Terminal) upišite:

sudo gedit /etc/scalpel/ scalpel.conf

scalpel.conf sadrži informacije o broju različitih vrsta datoteka. Pomičite se kroz ovu datoteku i odsječene retke koje počinju s tipom datoteke koju želite oporaviti( odnosno uklonite znak "#" na početku tih redaka).

Spremite datoteku i zatvorite ga. Vratite se na prozor terminala.

Scalpel također ima ton opcija naredbenog retka koji vam mogu pomoći da brzo i učinkovito pretražite;međutim, samo ćemo definirati ulazni uređaj( /dev/ sda) i izlaznu mapu( mapu pod nazivom "skalpel" koji smo stvorili na radnoj površini).

Naš poziv je:

sudo skalpel /dev/ sda -o skalpel

Skalpel je u mogućnosti oporaviti 18 od 20 datoteka.

Brzi pogled na datoteke koje su otkrivene skalpelom otkriva da je većina datoteka uspješno pronađena, iako su neki problemi( npr., 00000012.jpg).

Zaključak

U primjeru brzog igranja, TestDisk je uspio oporaviti dva izbrisana particija, a PhotoRec i Foremost uspjeli su oporaviti svih 20 izbrisanih slika. Skalpel je oporavio većinu datoteka, ali vrlo je vjerojatno da će igranje s opcijama naredbenog retka za skalpel omogućiti da obnovimo svih 20 slika.

Ovi su alati spasioci kada se nešto dogodi s vašim tvrdim diskom. Ako su vaši podaci negdje na tvrdom disku, jedan od tih alata će ga pratiti!