17Aug
Istnieje wiele narzędzi do odzyskiwania skasowanych plików, ale co zrobić, jeśli nie można uruchomić komputera lub cały dysk został sformatowany? Pokażemy Ci narzędzia, które będą się głęboko kopać i odzyskać najbardziej nieuchwytne usunięte pliki, a nawet całe partycje dysków twardych.
Pokazaliśmy ci proste sposoby na odzyskanie przypadkowo usuniętych plików, nawet prostą metodę, którą można zrobić z płyty Ubuntu Live CD, ale w przypadku dysków twardych, które zostały mocno uszkodzone, metody te nie zamierzają go usunąć.W tym artykule przyjrzymy się czterem narzędziom, które mogą odzyskać dane z najbardziej pomieszanych dysków twardych, niezależnie od tego, czy zostały sformatowane dla komputera z systemem Windows, Linux lub Mac, czy nawet jeśli tablica partycji została całkowicie zniszczona.
Uwaga: Narzędzia te nie mogą odzyskać danych, które zostały nadpisane na dysku twardym. To, czy usunięty plik został nadpisany, zależy od wielu czynników - im szybciej zorientujesz się, że chcesz odzyskać plik, tym większe prawdopodobieństwo, że będziesz w stanie to zrobić.
Nasza konfiguracja
Aby wyświetlić te narzędzia, przygotowaliśmy mały dysk twardy 1 GB, z połową przestrzeni partycjonowanej jako ext2, systemem plików używanym w systemie Linux i połową przestrzeni partycjonowanej jako FAT32, systemem plików używanym wstarsze systemy Windows. Na każdym twardym dysku zapisaliśmy dziesięć losowych obrazów.
Następnie wyczyściliśmy tablicę partycji z dysku twardego, usuwając partycje w GParted.
Czy nasze dane zostaną utracone na zawsze?
Instalowanie narzędzi
Wszystkie narzędzia, których zamierzamy użyć, znajdują się w repozytorium systemu Ubuntu.
Aby włączyć repozytorium, otwórz Menedżera pakietów Synaptic, klikając System w lewym górnym rogu, a następnie Administracja & gt;Menedżer pakietów Synaptic.
Kliknij Ustawienia & gt;Repozytoria i dodaj czek w polu oznaczonym "Wspierane przez społeczność oprogramowanie Open Source( wszechświat)".
Kliknij przycisk Zamknij, a następnie w głównym oknie Menedżera pakietów Synaptic kliknij przycisk Załaduj ponownie. Po ponownym załadowaniu listy pakietów i odbudowaniu indeksu wyszukiwania wyszukaj i oznacz, aby zainstalować jeden lub wszystkie z następujących pakietów: testdisk , przede i skalpel .
Testdisk zawiera TestDisk, który może odzyskać utracone partycje i naprawić sektory startowe, oraz PhotoRec, który może odzyskać wiele różnych typów plików z ton różnych systemów plików.
Foremost , pierwotnie opracowany przez Biuro Specjalnych Badań Sił Powietrznych USA, odzyskuje pliki na podstawie ich nagłówków i innych wewnętrznych struktur. Przede wszystkim działa na dyskach twardych lub generuje pliki obrazów generowane przez różne narzędzia.
W końcu skalpel pełni te same funkcje, ale koncentruje się na zwiększonej wydajności i mniejszym zużyciu pamięci. Skalpel może działać lepiej, jeśli masz starszą maszynę z mniejszą ilością pamięci RAM.
Odzyskiwanie partycji dysku twardego
Jeśli nie możesz zamontować dysku twardego, może to oznaczać, że jego tabela partycji jest uszkodzona. Zanim zaczniesz próbować odzyskać ważne pliki, możesz odzyskać jedną lub więcej partycji na swoim dysku, odzyskując wszystkie pliki jednym krokiem.
Testdisk to narzędzie do pracy. Uruchom go, otwierając terminal( Aplikacje> Akcesoria> Terminal) i wpisując:
sudo testdisk
Jeśli chcesz, możesz utworzyć plik dziennika, ale nie wpłynie to na ilość odzyskiwanych danych. Po dokonaniu wyboru zostanie wyświetlona lista nośników pamięci na komputerze. Powinieneś być w stanie zidentyfikować dysk twardy, na który chcesz odzyskać partycje, według jego rozmiaru i etykiety.
TestDisk prosi o wybór typu tabeli partycji do wyszukania. W większości przypadków( ext2 / 3, NTFS, FAT32 itd.) Powinieneś wybrać Intel i nacisnąć Enter.
Podświetl Analiza i naciśnij enter.
W naszym przypadku nasz mały dysk twardy został wcześniej sformatowany jako NTFS.O dziwo, TestDisk znajduje tę partycję, ale nie jest w stanie jej odzyskać.
Wyszukuje również dwie partycje, które właśnie usunęliśmy. Możemy zmienić ich atrybuty lub dodać więcej partycji, ale odzyskamy je po naciśnięciu klawisza Enter.
Jeśli TestDisk nie znalazł wszystkich twoich partycji, możesz spróbować wykonać głębsze wyszukiwanie, wybierając tę opcję za pomocą klawiszy strzałek w lewo iw prawo. Mieliśmy tylko te dwie partycje, więc odzyskamy je, wybierając Zapisz i naciskając Enter.
Testdisk informuje nas, że będziemy musieli zrestartować komputer.
Uwaga: Jeśli dysk Ubuntu Live CD nie jest trwały, to po ponownym uruchomieniu komputera konieczne będzie ponowne zainstalowanie wszystkich wcześniej zainstalowanych narzędzi.
Po ponownym uruchomieniu obie nasze partycje powracają do swoich oryginalnych stanów, obrazów i wszystkiego.
Odzyskiwanie plików określonych typów
W poniższych przykładach usunęliśmy 10 zdjęć z obu partycji, a następnie sformatowano je ponownie.
PhotoRec
Z trzech narzędzi, które pokażemy, PhotoRec jest najbardziej przyjazny dla użytkownika, pomimo tego, że jest narzędziem opartym na konsolach. Aby rozpocząć odzyskiwanie plików, otwórz terminal( Aplikacje> Akcesoria> Terminal) i wpisz:
sudo photorec
Aby rozpocząć, pojawi się monit o wybranie urządzenia pamięci masowej do wyszukiwania. Powinieneś być w stanie zidentyfikować właściwe urządzenie według jego rozmiaru i etykiety. Wybierz odpowiednie urządzenie, a następnie naciśnij Enter.
PhotoRec pyta o typ szukanej partycji. W większości przypadków( ext2 / 3, NTFS, FAT itp.) Powinieneś wybrać Intel i nacisnąć Enter.
Dostaniesz listę partycji na wybranym dysku twardym. Jeśli chcesz odzyskać wszystkie pliki na partycji, wybierz Wyszukaj i naciśnij enter.
Jednak proces ten może być bardzo powolny, aw naszym przypadku chcemy tylko szukać plików ze zdjęciami, więc zamiast tego używamy klawisza strzałki w prawo, aby wybrać File Opt i naciśnij Enter.
PhotoRec może odzyskać wiele różnych typów plików, a cofnięcie wyboru każdego z nich zajęłoby dużo czasu. Zamiast tego wciskamy "s", aby wyczyścić wszystkie wybrane opcje, a następnie odszukaj odpowiednie typy plików - jpg, gif i png - i wybierz je, naciskając prawy klawisz strzałki.
Po wybraniu tych trzech, wciskamy "b", aby zapisać te wybory.
Naciśnij klawisz Enter, aby powrócić do listy partycji dysku twardego. Chcemy przeszukać obie nasze partycje, dlatego zaznaczamy "Bez partycji" i "Szukaj", a następnie wciskamy Enter.
PhotoRec pyta o lokalizację do przechowywania odzyskanych plików. Jeśli masz inny zdrowy dysk twardy, zalecamy przechowywanie odzyskanych plików. Ponieważ nie przywracamy zbyt wiele, przechowujemy je na pulpicie Ubuntu Live CD.
Uwaga: Nie odzyskuj plików na dysk twardy, z którego odzyskujesz.
PhotoRec jest w stanie odzyskać 20 zdjęć z partycji na naszym twardym dysku!
Szybki przegląd katalogu, który utworzy, recup_dir.1, potwierdza, że PhotoRec odzyskał wszystkie nasze zdjęcia, zapisując nazwy plików.
Foremost
Foremost jest programem wiersza polecenia bez interaktywnego interfejsu, takiego jak PhotoRec, ale oferuje wiele opcji wiersza polecenia, aby uzyskać jak najwięcej danych z dysku, jaki był możliwy.
Aby uzyskać pełną listę opcji, które można modyfikować za pomocą wiersza poleceń, otwórz terminal( Aplikacje> Akcesoria> Terminal) i wpisz:
przede -h
W naszym przypadku opcje wiersza poleceń, które zamierzamydo użycia są:
- -t, lista rozdzielanych przecinkami typów plików do wyszukania. W naszym przypadku jest to "jpeg, png, gif".
- -v, włączanie trybu szczegółowego, dając nam więcej informacji o tym, co najważniejsze.
- -o, folder wyjściowy do przechowywania odzyskanych plików. W naszym przypadku utworzyliśmy katalog o nazwie "przede wszystkim" na pulpicie.
- -i, dane wejściowe, które będą wyszukiwane dla plików. Może to być obraz dysku w kilku różnych formatach;jednak użyjemy dysku twardego, /dev/ sda.
Nasze najważniejsze wywołanie to:
sudo przede -t jpeg, png, gif -o przod -v -i /dev/ sda
Twoje inwokacje będą się różnić w zależności od tego, czego szukasz i gdzie go szukasz.
Foremost jest w stanie odzyskać 17 z 20 plików przechowywanych na dysku twardym.
Patrząc na pliki, możemy potwierdzić, że te pliki zostały odzyskane stosunkowo dobrze, chociaż możemy zobaczyć błędy w miniaturze dla 00622449.jpg.
Część tego może być spowodowana systemem plików ext2.Zalecane jest użycie opcji -d dla Linuksowych systemów plików takich jak ext2.
Zaczynamy od nowa, dodając opcję wiersza polecenia -d do naszej najważniejszej inwokacji:
sudo przede -t jpeg, png, gif -d -o przed -v -i /dev/ sda
Tym razem jest w stanieodzyskaj wszystkie 20 zdjęć!
Ostateczne spojrzenie na zdjęcia pokazuje, że zdjęcia zostały odzyskane bez żadnych problemów.
Scalpel
Scalpel to kolejny potężny program, który podobnie jak Foremost jest silnie konfigurowalny. W przeciwieństwie do Foremost, Scalpel wymaga edycji pliku konfiguracyjnego przed próbą odzyskania danych.
Dozwolony jest dowolny edytor tekstu, ale użyjemy gedit do zmiany pliku konfiguracyjnego. W oknie terminala( Aplikacje> Akcesoria> Terminal) wpisz:
sudo gedit /etc/scalpel/ scalpel.conf
scalpel.conf zawiera informacje o wielu różnych typach plików. Przewiń ten plik i odkomentuj linie rozpoczynające się od typu pliku, który chcesz odzyskać( tj. Usuń znak "#" na początku tych wierszy).
Zapisz plik i zamknij go. Wróć do okna terminala.
Scalpel oferuje także mnóstwo opcji wiersza poleceń, które mogą pomóc Ci szybko i skutecznie wyszukiwać;jednak po prostu zdefiniujemy urządzenie wejściowe( /dev/ sda) i folder wyjściowy( folder o nazwie "skalpel", który utworzyliśmy na pulpicie).
Naszą inwokacją jest:
sudo skalpel /dev/ sda -o skalpel
Scalpel jest w stanie odzyskać 18 z naszych 20 plików.
Szybkie spojrzenie na odzyskane pliki skalpela pokazuje, że większość naszych plików została odzyskana pomyślnie, chociaż wystąpiły pewne problemy( np. 00000012.jpg).
Wniosek
W naszym przykładzie szybkiego zabawek, TestDisk był w stanie odzyskać dwie usunięte partycje, a PhotoRec i Foremost były w stanie odzyskać wszystkie 20 skasowanych obrazów. Scalpel odzyskał większość plików, ale jest bardzo prawdopodobne, że granie z opcjami wiersza poleceń dla skalpela pozwoliłoby nam odzyskać wszystkie 20 obrazów.
Te narzędzia są ratunkowe, gdy coś pójdzie nie tak z twoim dyskiem twardym. Jeśli twoje dane znajdują się gdzieś na dysku twardym, to jedno z tych narzędzi je wytropi!