Начална » как да » Възстановяване на данни като експерт по криминалистика с помощта на Ubuntu Live CD

    Възстановяване на данни като експерт по криминалистика с помощта на Ubuntu Live CD

    Има много помощни програми за възстановяване на изтрити файлове, но какво ще стане, ако не можете да стартирате компютъра си или целият диск е бил форматиран? Ще ви покажем някои инструменти, които ще копаят дълбоко и ще възстановят най-неуловимите изтрити файлове, или дори цели дялове на твърдия диск.

    Ние ви показахме прости начини за възстановяване на случайно изтрити файлове, дори един прост метод, който може да бъде направен от компакт диск на Ubuntu Live, но за твърди дискове, които са силно повредени, тези методи няма да го намалят. В тази статия ще разгледаме четири инструмента, които могат да възстановят данни от най-обърканите твърди дискове, независимо дали са форматирани за Windows, Linux или Mac компютър, или дори таблицата на дяловете да бъде изтрита изцяло.

    Забележка: Тези инструменти не могат да възстановят данни, които са били презаписани на твърдия диск. Дали изтрит файл е бил презаписан, зависи от много фактори - колкото по-бързо осъзнаете, че искате да възстановите файл, толкова по-вероятно е да го направите.

    Нашата настройка

    За да покажем тези инструменти, създадохме малък 1 GB твърд диск, като половината от пространството е разделено на ext2, файловата система, използвана в Linux, и половината пространство, разделено на FAT32, файлова система, използвана в по-стари системи на Windows. Запазихме десет произволни снимки на всеки твърд диск.

    След това изтрихме таблицата на дяловете от твърдия диск, като изтрихме дяловете в GParted.

    Дали нашите данни са загубени завинаги?

    Инсталиране на инструментите

    Всички инструменти, които ще използваме, са в Ubuntu вселена хранилище.

    За да активирате хранилището, отворете Synaptic Package Manager, като щракнете върху Система в горния ляв ъгъл, след което Администриране> Synaptic Package Manager.

    Кликнете върху Настройки> Репозитории и добавете отметка в полето „Съхраняван от Общността софтуер с отворен код (вселена)“.

    Щракнете върху Затвори, а след това в главния прозорец на Synaptic Package Manager щракнете върху бутона Презареждане. След като списъкът с пакетите се презареди и индексът за търсене се възстанови, потърсете и маркирайте за инсталиране един или всички от следните пакети: TestDisk, най-важен, и скалпел.

    TestDisk включва TestDisk, който може да възстанови загубени дялове и да възстанови зареждащите сектори, както и PhotoRec, който може да възстанови много различни видове файлове от тона на различни файлови системи.

    най-важен, Първоначално разработена от Службата за специални разследвания на ВВС на САЩ, възстановява файловете въз основа на техните заглавия и други вътрешни структури. Най-напред работи на твърди дискове или управлява файлове с изображения, генерирани от различни инструменти.

    накрая, скалпел изпълнява същите функции, както преди, но е фокусиран върху подобрена производителност и по-ниска употреба на паметта. Скалпелът може да работи по-добре, ако имате по-стара машина с по-малко RAM.

    Възстановете дяловете на твърдия диск

    Ако не можете да монтирате твърдия диск, тогава неговата таблица с дялове може да е повредена. Преди да започнете да се опитвате да възстановите вашите важни файлове, е възможно да възстановите един или повече дяла на вашето устройство, като възстановите всичките си файлове с една стъпка.

    TestDisk е инструментът за работа. Стартирайте го, като отворите терминал (Приложения> Аксесоари> Терминал) и напишете:

    sudo testdisk

    Ако искате, можете да създадете регистрационен файл, въпреки че няма да повлияе на това колко данни ще възстановите. След като направите своя избор, ще бъдете посрещнати със списък на носителите за съхранение на вашата машина. Трябва да можете да идентифицирате твърдия диск, който искате да възстановите, от неговия размер и етикет.

    TestDisk иска да изберете типа на таблицата на дяловете, която да търсите. В повечето случаи (ext2 / 3, NTFS, FAT32 и т.н.) трябва да изберете Intel и да натиснете Enter.

    Маркирайте Анализ и натиснете enter.

    В нашия случай нашият малък твърд диск преди това е бил форматиран като NTFS. Удивително е, че TestDisk намира този дял, въпреки че не може да го възстанови.

    Той намира и двата дяла, които току-що изтрихме. Ние можем да променяме техните атрибути или да добавяме повече дялове, но просто ще ги възстановим чрез натискане на Enter.

    Ако TestDisk не е намерил всичките си дялове, можете да опитате да извършите по-задълбочено търсене, като изберете тази опция с клавишите със стрелки наляво и надясно. Имахме само тези два дяла, така че ще ги възстановим, като изберете Писане и натиснете Enter.

    Testdisk ни информира, че ще трябва да рестартираме.

    Забележка: Ако вашият компактдиск на Ubuntu Live не е устойчив, тогава, когато рестартирате, ще трябва да преинсталирате всички инструменти, които сте инсталирали по-рано.

    След като рестартирате, и двата ни дяла се връщат към първоначалните си състояния, снимки и всичко останало.

    Възстановяване на файлове от определени типове

    За следващите примери изтрихме 10-те снимки от двете дялове и след това ги преформатирахме.

    PhotoRec

    От трите инструмента, които ще покажем, PhotoRec е най-удобен за ползване, въпреки че е конзолна програма. За да стартирате възстановяването на файлове, отворете терминал (Приложения> Аксесоари> Терминал) и въведете:

    sudo photorec

    За да започнете, ще бъдете помолени да изберете устройство за съхранение за търсене. Трябва да можете да идентифицирате правилното устройство по неговия размер и етикет. Изберете правилното устройство и след това натиснете Enter.

    PhotoRec иска да изберете типа на дяла за търсене. В повечето случаи (ext2 / 3, NTFS, FAT и т.н.) трябва да изберете Intel и да натиснете Enter.

    Вие получавате списък с дяловете на избрания от вас твърд диск. Ако искате да възстановите всички файлове на даден дял, изберете Търсене и натиснете Enter.

    Този процес обаче може да бъде много бавен и в нашия случай искаме само да търсим файлове с изображения, така че вместо това използваме клавиша със стрелка надясно, за да изберем Файл Опт и натиснете Enter.

    PhotoRec може да възстанови много различни типове файлове, а премахването на избора на всеки от тях ще отнеме много време. Вместо това, натиснете "s", за да изчистите всички селекции и след това да намерите подходящите типове файлове - jpg, gif и png - и да ги изберете, като натиснете клавиша със стрелка надясно.

    След като сме избрали тези три, натиснете “b”, за да запазите тези селекции.

    Натиснете enter, за да се върнете към списъка с дялове на твърдия диск. Искаме да търсим и двата ни дяла, затова маркираме “No partition” и “Search” и след това натиснете Enter.

    PhotoRec подканва за местоположение за съхраняване на възстановените файлове. Ако имате различен здравословен твърд диск, препоръчваме ви да съхраните възстановените файлове там. Тъй като не се възстановяваме много, ще го съхраним на работния плот на Ubuntu Live CD.

    Забележка: Не възстановявайте файлове на твърдия диск, от който се възстановява.

    PhotoRec може да възстанови 20-те снимки от дяловете на нашия твърд диск!

    Бърз поглед в директорията recup_dir.1, която създава, потвърждава, че PhotoRec е възстановил всичките ни снимки, освен за имената на файловете.

    най-важен

    На първо място е програма от командния ред без интерактивен интерфейс като PhotoRec, но предлага редица опции за командния ред, за да извлечете колкото се може повече данни от вашия диск..

    За пълен списък с опции, които могат да бъдат променени чрез командния ред, отворете терминал (Приложения> Аксесоари> Терминал) и напишете:

    преди всичко -h

    В нашия случай опциите за командния ред, които ще използваме, са:

    • -t, списък от типове файлове, разделени със запетая, за търсене. В нашия случай това е „jpeg, png, gif“.
    • -v, позволявайки подробен режим, който ни дава повече информация за това какво прави най-напред.
    • -o, изходната папка за съхраняване на възстановени файлове. В нашия случай, ние създадохме директория, наречена “преди всичко” на работния плот.
    • -i, входът, който ще се търси за файлове. Това може да бъде изображение на диска в няколко различни формата; обаче ще използваме твърд диск / dev / sda.

    Нашият най-важен призив е:

    sudo foremost -t jpeg, png, gif -о преди всичко -v -i / dev / sda

    Вашето извикване ще се различава в зависимост от това какво търсите и къде търсите.

    На първо място е възможно да възстанови 17 от 20 файла, съхранени на твърдия диск.

    Разглеждайки файловете, можем да потвърдим, че тези файлове са възстановени сравнително добре, въпреки че можем да видим някои грешки в миниатюрата за 00622449.jpg.

    Част от това може да се дължи на файловата система ext2. На първо място се препоръчва да използвате опцията -d за командния ред за Linux файлови системи като ext2.

    Ще се върнем най-напред отново, като добавим опцията -d от командния ред до най-висшия призив:

    sudo foremost -t jpeg, png, gif -d-a преди всичко -v -i / dev / sda

    Този път преди всичко е в състояние да възстанови всичките 20 изображения!

    Последният поглед върху снимките показва, че снимките са възстановени без проблеми.

    скалпел

    Скалпел е друга мощна програма, която, подобно на Първостепенна, е силно конфигурирана. За разлика от Foremost, Scalpel изисква да редактирате конфигурационен файл, преди да опитате възстановяване на данни.

    Всеки текстов редактор ще го направи, но ще използваме gedit, за да сменим конфигурационния файл. В терминален прозорец (Приложения> Аксесоари> Терминал) въведете:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf съдържа информация за няколко различни типа файлове. Превъртете през този файл и откажете линиите, които започват с тип на файла, който искате да възстановите (т.е. премахнете символа „#“ в началото на тези редове).

    Запазете файла и го затворете. Върнете се в прозореца на терминала.

    Скалпел има и много опции за командния ред, които могат да ви помогнат да търсите бързо и ефективно; обаче ще дефинираме само входното устройство (/ dev / sda) и изходната папка (папката, наречена „скалпел“, която създадохме на работния плот).

    Нашето извикване е:

    Скалпел на sudo скалпел / dev / sda -o

    Скалпел може да възстанови 18 от нашите 20 файла.

    Бърз поглед към файловете, възстановени от скалпела, показва, че повечето от нашите файлове бяха възстановени успешно, въпреки че имаше някои проблеми (например 00000012.jpg).

    заключение

    В нашия бърз пример за играчки, TestDisk успя да възстанови два изтрити дяла, а PhotoRec и Foremost успяха да възстановят всички 20 изтрити изображения. Скалпел възстанови повечето от файловете, но е много вероятно игра с опциите на командния ред за скалпел да ни позволи да възстановим всичките 20 изображения..

    Тези инструменти са спасители, когато нещо се обърка с твърдия ви диск. Ако данните ви са на твърдия диск някъде, тогава един от тези инструменти ще го проследи!

    Възстановяване на файлове със сензорни копия във всяка версия на Windows Vista
    Възстановяване на изгубени данни за формуляри във Firefox
    Запис на видеоклипове на работния плот на всяка операционна система безплатно
    Следваща статия
    Възстановяване на изтрити файлове на NTFS твърд диск от Ubuntu Live CD
    Предишна статия
    Запишете сесиите на командния ред с Asciinema