17Aug

Återställ data som en rättsmedicinsk expert med hjälp av en Ubuntu Live CD

Det finns många verktyg för att återställa raderade filer, men vad händer om du inte kan starta upp datorn eller hela enheten har formaterats? Vi visar dig några verktyg som gräver djupt och återställer de mest smutsiga borttagna filerna, eller till och med hela hårddiskpartitioner.

Vi har visat dig enkla sätt att återställa oavsiktligt raderade filer, till och med en enkel metod som kan göras från en Ubuntu Live CD, men för hårddiskar som har blivit mycket skadade kommer dessa metoder inte att skära den. I den här artikeln granskar vi fyra verktyg som kan återställa data från de hårdaste hårddiskarna, oavsett om de formaterades för en Windows-, Linux- eller Mac-dator, eller även om partitionstabellen är helt utplånad.

Obs! Dessa verktyg kan inte återställa data som har skrivits över på en hårddisk. Huruvida en borttagen fil har skrivits över beror på många faktorer - ju snabbare du inser att du vill återställa en fil, desto mer sannolikt kommer du att kunna göra det.

Vår installation

För att visa dessa verktyg har vi skapat en liten hårddisk på 1 GB, med hälften av mellanslaget partitionerat som ext2, ett filsystem som används i Linux och hälften av avdelningen är partitionerad som FAT32, ett filsystem som används iäldre Windows-system. Vi lagrade tio slumpmässiga bilder på varje hårddisk.

Torkade sedan partitionstabellen från hårddisken genom att radera partitionerna i GParted.

Är vår data förlorad för alltid?

Installera verktygen

Alla verktyg vi ska använda finns i Ubuntus universum repository.

För att aktivera förvaret, öppna Synaptic Package Manager genom att klicka på System längst upp till vänster och sedan Administration & gt;Synaptic Package Manager.

Klicka på Inställningar & gt;Repositories och lägg till en check i rutan märkt "Community-maintained Open Source-programvara( universum)".

Klicka på Stäng, och klicka sedan på Reload-knappen i huvudfönstret Synaptic Package Manager. När paketlistan har laddats om, och sökindexet ombyggdes, leta efter och markera för installation ett eller alla följande paket: testdisk , främst och skalpell .

Testdisk innehåller TestDisk, som kan återställa förlorade partitioner och reparationsstart, och PhotoRec, som kan återställa många olika typer av filer från massor av olika filsystem.

Framtida , som ursprungligen utvecklades av US Air Force Office of Special Investigations, återställer filer baserat på deras rubriker och andra interna strukturer. Först arbetar på hårddiskar eller kör bildfiler som genereras av olika verktyg.

Slutligen utför skalpell samma funktioner som främst men fokuserar på förbättrad prestanda och lägre minnesanvändning. Scalpel kan springa bättre om du har en äldre maskin med mindre RAM.

Återställa hårddiskpartitioner

Om du inte kan montera hårddisken kan dess partitionstabell vara skadad. Innan du försöker återställa viktiga filer kan det vara möjligt att återställa en eller flera partitioner på din enhet, återställa alla dina filer med ett steg.

Testdisk är verktyget för jobbet. Starta det genom att öppna en terminal( Program> Tillbehör & gt; Terminal) och skriva in:

sudo testdisk

Om du vill kan du skapa en loggfil, men det påverkar inte hur mycket data du återställer. När du väl väljer, hälsas du med en lista över lagringsmedia på din maskin. Du bör kunna identifiera hårddisken du vill återställa partitioner från med storlek och etikett.

TestDisk ber dig välja vilken typ av partitionstabell du vill söka efter. I de flesta fall( ext2 / 3, NTFS, FAT32, etc.) ska du välja Intel och trycka på Enter.

Markera Analysera och tryck på enter.

I vårt fall har vår lilla hårddisk tidigare formats som NTFS.Otroligt, TestDisk finner denna partition, men det kan inte återställas.

Det finner också de två partitionerna som vi bara tog bort. Vi kan ändra sina attribut eller lägga till fler partitioner, men vi kommer bara att återställa dem genom att trycka på Enter.

Om TestDisk inte har hittat alla dina partitioner kan du försöka göra en djupare sökning genom att välja det alternativet med vänster och höger piltangent. Vi hade bara dessa två partitioner, så vi återställer dem genom att välja Skriv och trycka på Enter.

Testdisk informerar oss om att vi måste starta om.

Obs! Om din Ubuntu Live CD inte är ihållande, måste du installera om några verktyg som du installerat tidigare när du startar om.

Efter omstart är båda partitionerna tillbaka till sina ursprungliga tillstånd, bilder och allt.

Återställ filer av vissa typer

För följande exempel raderade vi de 10 bilderna från båda partitionerna och omformaterade dem sedan.

PhotoRec

Av de tre verktygen vi visar är PhotoRec det mest användarvänliga, trots att det är ett konsolbaserat verktyg. För att starta återställningen av filer, öppna en terminal( Program> Tillbehör & gt; Terminal) och skriv in:

sudo photorec

Till att börja med blir du ombedd att välja en lagringsenhet att söka. Du bör kunna identifiera rätt enhet med storlek och etikett. Välj rätt enhet och tryck sedan på Enter.

PhotoRec ber dig välja vilken partition som ska söka. I de flesta fall( ext2 / 3, NTFS, FAT, etc.) ska du välja Intel och trycka på Enter.

Du får en lista över partitionerna på den valda hårddisken. Om du vill återställa alla filer på en partition väljer du Sök och trycker på Enter.

Denna process kan dock vara mycket långsam, och i vårt fall vill vi bara söka efter bildfiler, så istället använder vi den högra pilknappen för att välja File Opt och trycker på Enter.

PhotoRec kan återställa många olika typer av filer, och avmarkering av var och en skulle ta lång tid. I stället trycker vi på "s" för att rensa alla val, och hitta sedan lämpliga filtyper - jpg, gif och png - och välj dem genom att trycka på högerpil.

När vi väl valt dessa tre, trycker vi på "b" för att spara dessa val.

Tryck på enter för att återgå till listan över hårddiskpartitioner. Vi vill söka i båda våra partitioner, så vi markerar "Ingen partition" och "Sök" och trycker sedan på Enter.

PhotoRec uppmanas till en plats för att lagra de återställda filerna. Om du har en annan hälsosam hårddisk, rekommenderar vi att du lagrar de återställda filerna där. Eftersom vi inte återhämtar mycket, lagrar vi den på Ubuntu Live CD: ns skrivbord.

Obs! Återställ inte filer till hårddisken du återhämtar från.

PhotoRec kan återställa 20 bilder från partitionerna på vår hårddisk!

En snabb titt i katalogen recup_dir.1 som det skapar bekräftar att PhotoRec har återställt alla våra bilder, spara för filnamnen.

Framtida

Först och främst är ett kommandoradsprogram utan interaktivt gränssnitt som PhotoRec, men erbjuder ett antal kommandoradsalternativ för att få så mycket data som möjligt från din hade-enhet.

För en fullständig lista över alternativ som kan tweaked via kommandoraden öppnar du en terminal( Applikationer> Tillbehör & gt; Terminal) och skriver in:

främst -h

I vårt fall är kommandoradsalternativen vi skaatt använda är:

  • -t, en kommaseparerad lista över filtyper att söka efter. I vårt fall är detta "jpeg, png, gif".
  • -v, vilket möjliggör verbose-läge, vilket ger oss mer information om vad som främst gör.
  • -o, utmatningsmappen för att lagra återställda filer i. I vårt fall skapade vi en katalog som heter "främst" på skrivbordet.
  • -i, den inmatning som ska sökas efter filer. Detta kan vara en skivavbildning i flera olika format;Vi kommer dock att använda en hårddisk, /dev/ sda.

Vår främsta påminnelse är:

sudo främst -t jpeg, png, gif -o främst -v -i /dev/ sda

Din inbjudan kommer att skilja sig beroende på vad du söker och var du söker efter det.

Först kan återställa 17 av de 20 filer som lagras på hårddisken.

Titta på filerna, vi kan bekräfta att dessa filer har återställts relativt bra, men vi kan se några fel i miniatyrbilden för 00622449.jpg.

En del av detta kan bero på ext2-filsystemet. Rekommenderar främst att använda kommandoraden -d för Linux-filsystem som ext2.

Vi kör igen och lägger till -d kommandoradsalternativet till vår främsta påminnelse:

sudo främst -t jpeg, png, gif -d -o främst -v-/dev/ sda

Den här gången är det främst möjligt attåterhämta alla 20 bilder!

En slutlig titt på bilderna visar att bilderna återställdes utan problem.

Scalpel

Scalpel är ett annat kraftfullt program som, som främst, är starkt konfigurerbart. Till skillnad från främst kräver skalpell att du redigerar en konfigurationsfil innan du försöker att återställa data.

Varje textredigerare kommer att göra, men vi använder gedit för att ändra konfigurationsfilen. I ett terminalfönster( Applikationer> Tillbehör & gt; Terminal) skriver du in:

sudo gedit /etc/scalpel/ scalpel.conf

scalpel.conf innehåller information om ett antal olika filtyper. Bläddra igenom den här filen och obefintliga rader som börjar med en filtyp som du vill återställa( dvs ta bort "#" -tecknet i början av de här raderna).

Spara filen och stäng den.Återgå till terminalfönstret.

Scalpel har också massor av kommandoradsalternativ som kan hjälpa dig att söka snabbt och effektivt. Vi definierar dock bara inmatningsenheten( /dev/ sda) och utdatafilen( en mapp som heter "skalpell" som vi skapade på skrivbordet).

Vår inbjudan är:

sudo skalpell /dev/ sda -o skalpell

Scalpel kan återställa 18 av våra 20 filer.

En snabb titt på de återställda filerna av skalpell visar att de flesta av våra filer återhämtades framgångsrikt, även om det fanns några problem( t ex 00000012.jpg).

Slutsats

I vårt snabba leksaksexempel kunde TestDisk återställa två raderade partitioner, och PhotoRec och Foremost kunde återställa alla 20 raderade bilder. Scalpel återställde de flesta filerna, men det är mycket troligt att att spela med kommandoradsalternativen för skalpell skulle ha gjort det möjligt för oss att återställa alla 20 bilder.

Dessa verktyg är livräddare när något går fel med din hårddisk. Om dina data finns på hårddisken någonstans, kommer ett av dessa verktyg att spåra det!