Oporavak podataka poput stručnjaka za forenziku Korištenje Ubuntu Live CD-a

2024 Autor: Geoffrey Carr | [email protected]. Zadnja promjena: 2023-12-17 10:57

Postoji mnogo uslužnih programa za oporavak izbrisanih datoteka, no što ako ne možete pokrenuti računalo ili je formatiran cijeli pogon? Pokazat ćemo vam neke alate koji će kopati duboko i oporaviti najteže izbrisane datoteke ili čak čitave particije tvrdog diska.

Pokazali smo vam jednostavne načine za oporavak slučajno izbrisanih datoteka, čak i jednostavnu metodu koja se može izvršiti s Ubuntu Live CD-a, ali za tvrde diskove koji su bili jako oštećeni, te metode neće smanjiti. U ovom članku ispitat ćemo četiri alata koji mogu oporaviti podatke od najčešće zabrljanih tvrdih diskova, bez obzira na to jesu li formatirani za Windows, Linux ili Mac računalo ili čak i ako je tablica particija potpuno izbrisana.

Napomena: Ovi alati ne mogu oporaviti podatke koji su prebrisani na tvrdom disku. Je li izbrisana datoteka prebrisana ovisi o mnogim čimbenicima - što brže shvatite da želite oporaviti datoteku, to je vjerojatnije da ćete to moći učiniti.

Naša postava

Da bismo vam pokazali ove alate, postavili smo mali 1 GB tvrdi disk s pola prostora koji je podijeljen kao ext2, sustav datoteka koji se koristi u Linuxu, a polovica prostora podijeljena kao FAT32, datotečni sustav koji se koristi u starijim sustavima sustava Windows. Na svakom tvrdom disku smo pohranili deset slučajnih slika.

Zatim smo obrisali particijsku tablicu s tvrdog diska brisanjem particija u GPartedu.

Jesu li naši podaci izgubljeni zauvijek?

Instaliranje alata

Svi alati koje koristimo su u Ubuntu-u svemir projekti.

Da biste omogućili repozitorij, otvorite Synaptic paketni menadžer klikom na System (Sustav) u gornjem lijevom dijelu, a zatim na administraciju> Synaptic Package Manager.

Kliknite Postavke> Repozitorije i dodajte ček u okvir s oznakom "Softver otvorenog izvornog softvera za zajednicu (svemir)".

Kliknite Zatvori, a zatim u glavnom prozoru Upravitelja paketa Synaptic, kliknite gumb Ponovno učitaj. Kada se paketni popis ponovno učita i indeks pretraživanja ponovno obnavlja, traži i označi za instalaciju jednog ili sve od sljedećih paketa: TestDisk, najistaknutiji, i skalpel.

TestDisk uključuje TestDisk, koji može oporaviti izgubljene particije i popravak sektora za pokretanje, i PhotoRec, koji može oporaviti mnogo različitih vrsta datoteka od tona različitih datoteka sustava.

najistaknutiji, koji je izvorno razvio Ured za specijalne istrage američkog ratnog zrakoplovstva, oporavlja datoteke na temelju njihovih zaglavlja i drugih unutarnjih struktura. Najvažnije djeluje na tvrdim diskovima ili disk image datotekama koje generiraju razni alati.

Konačno, skalpel obavlja iste funkcije kao najvažnije, ali je usmjeren na poboljšanu učinkovitost i manju potrošnju memorije. Skalpel može raditi bolje ako imate stariji stroj s manje RAM-a.

Obnova particija tvrdog diska

Ako ne možete montirati tvrdi disk, možda je njezina tablica particija oštećena. Prije nego što počnete pokušavati oporaviti vaše važne datoteke, možda će biti moguće obnoviti jednu ili više particija na vašem pogonu i vratiti sve vaše datoteke jednim korakom.

TestDisk je alat za posao. Pokrenite ga otvaranjem terminala (Applications> Accessories> Terminal) i upisivanjem:


sudo testdisk

Ako želite, možete izraditi datoteku zapisnika, iako to neće utjecati na količinu podataka koje ste oporavili. Nakon što napravite svoj izbor, pozdravljat će vam se popis medija za pohranu na vašem računalu. Trebali biste biti u stanju prepoznati tvrdi disk koji želite obnoviti particije po svojoj veličini i naljepnici.

TestDisk traži da odaberete vrstu tablice particija za traženje. U većini slučajeva (ext2 / 3, NTFS, FAT32 itd.) Trebate odabrati Intel i pritisnite Enter.

U našem slučaju, naš mali tvrdi disk prethodno je formatiran kao NTFS. Nevjerojatno, TestDisk pronalazi ovu particiju, iako ga ne može oporaviti.

Također pronalazi dvije particije koje smo upravo izbrisali. Možemo mijenjati svoje atribute ili dodati više particija, ali ćemo ih samo vratiti pritiskom na Enter.

Ako TestDisk nije pronašao sve vaše particije, možete pokušati dublje pretražiti odabirom te opcije pomoću lijevih i desnih tipki sa strelicama. Imali smo samo ove dvije particije, pa ćemo ih vratiti tako da odaberemo Zapis i pritisnemo Enter.

Testdisk nas obavještava da ćemo morati ponovno pokrenuti sustav.

Napomena: Ako vaš Ubuntu Live CD nije uporan, nakon ponovnog pokretanja morate ponovno instalirati sve instalacije koje ste ranije instalirali.

Nakon ponovnog pokretanja, obje naše particije se vraćaju u svoje izvorne države, slike i sve.

Oporavak datoteka određenih vrsta

Za sljedeće primjere izbrisali smo 10 slika s obje particije i zatim ih preoblikovali.

PhotoRec

Od tri alata koji ćemo pokazati, PhotoRec je najprikladniji, unatoč tome što je uslužni program utemeljen na konzoli. Za početak oporavka datoteka otvorite terminal (Applications> Accessories> Terminal) i upišite:


sudo photorec

Za početak, od vas se traži da odaberete uređaj za pohranu za pretraživanje. Trebali biste biti u stanju prepoznati odgovarajući uređaj po svojoj veličini i naljepnici. Odaberite pravi uređaj, a zatim pritisnite tipku Enter.

PhotoRec traži odabir vrste particije za pretraživanje. U većini slučajeva (ext2 / 3, NTFS, FAT itd.) Trebate odabrati Intel i pritisnite Enter.

Dati ćete popis particija na odabranom tvrdom disku.Ako želite obnoviti sve datoteke na particiji, odaberite Search i pritisnite enter.

Međutim, taj proces može biti vrlo sporo, a mi u našem slučaju želimo samo tražiti datoteke slika, pa umjesto toga koristimo desnu strelicu za odabir File Opt i pritisnite Enter.

PhotoRec može oporaviti mnoge različite vrste datoteka, a poništavanje svakog od njih bi trebalo dugo vremena. Umjesto toga, pritisnite "s" da brišete sve odabire, a zatim pronađete odgovarajuće vrste datoteka - jpg, gif i png - i odaberite ih pritiskom na tipku desne strelice.

Nakon što odaberemo ta tri, pritisnite "b" da biste spremili ove odabire.

Pritisnite Enter da biste se vratili na popis particija tvrdog diska. Želimo pretražiti obje naše particije, tako da istaknemo "Nema particiju" i "Traži", a zatim pritisnite tipku Enter.

PhotoRec traži lokaciju za pohranu obnovljenih datoteka. Ako imate drukčiji zdravi tvrdi disk, preporučujemo da pohranjene datoteke spremite tamo. Budući da se ne oporavljamo jako puno, spremit ćemo ga na radnu površinu Ubuntu Live CD-a.

Napomena: Nemojte vratiti datoteke na tvrdi disk s kojeg se oporavljaš.

PhotoRec može oporaviti 20 slika s particija na tvrdom disku!

Brz izgled u recup dir.1 direktoriju koji stvara potvrđuje da je PhotoRec oporavio sve naše slike, osim imena datoteka.

najistaknutiji

Najvažniji je program naredbenog retka bez interaktivnog sučelja kao što je PhotoRec, ali nudi brojne opcije naredbenog retka kako biste dobili što više podataka od vašeg pogona.

Za potpuni popis mogućnosti koje možete zamijeniti preko naredbenog retka, otvorite terminal (Applications> Accessories> Terminal) i upišite:


foremost –h

U našem slučaju, opcije naredbenog retka koje ćemo koristiti su:

-t, popis vrsta datoteka koje je potrebno za pretraživanje. U našem slučaju ovo je "jpeg, png, gif".
-v, omogućujući verbose-mode, dajući nam više informacija o tome što najvažnije radi.
-o, izlazna mapa za spremanje obnovljenih datoteka. U našem smo slučaju stvorili imenik pod nazivom "najistaknutiji" na radnoj površini.
-i, ulaz koji će se tražiti za datoteke. To može biti slika diska u nekoliko različitih formata; međutim, koristit ćemo tvrdi disk, / dev / sda.

Naša prva pozivnica je:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Vaša pozivnica će se razlikovati ovisno o onome što tražite i gdje ga tražite.

Prije svega, može se vratiti 17 od 20 datoteka pohranjenih na tvrdom disku.

Gledajući datoteke, možemo potvrditi da su te datoteke relativno dobro oporavljene, iako ćemo vidjeti neke pogreške u sličicama za 00622449.jpg.

Dio toga može biti zbog ext2 datotečnog sustava. Prije svega preporučuje se korištenje opcije naredbene linije -d za Linux sustave datoteka poput ext2.

Ponovno ćemo se truditi, dodajući opciju -d naredbenog retka na našu najistaknutiju poziv:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Ovaj put, prije svega, može vratiti svih 20 slika!

Konačni pogled na slike otkriva da su slike bile oporavljene bez ikakvih problema.

Skalpel

Scalpel je još jedan snažan program koji, kao Prvo, je jako podesiv. Za razliku od Prvo, Scalpel zahtijeva da uredite konfiguracijsku datoteku prije pokušaja bilo kakvog oporavka podataka.

Bilo koji urednik teksta će učiniti, ali ćemo koristiti gedit za promjenu konfiguracijske datoteke. U terminalnom prozoru (Programi> Dodatna oprema> Terminal) upišite:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf sadrži informacije o broju različitih vrsta datoteka. Pomičite se kroz ovu datoteku i odsječene retke koje počinju s tipom datoteke koju želite oporaviti (odnosno uklonite znak "#" na početku tih redaka).

Spremite datoteku i zatvorite je. Vratite se na prozor terminala.

Skalpel također ima ton opcija naredbenog retka koji vam može pomoći da brzo i učinkovito pretražite; No, definirat ćemo samo ulazni uređaj (/ dev / sda) i izlaznu mapu (mapu pod nazivom "skalpel" koji smo stvorili na radnoj površini).

Naš poziv je:


sudo scalpel /dev/sda –o scalpel

Scalpel je u stanju oporaviti 18 od 20 datoteka.

Brzi pogled na datoteke koje su otkrivene skalpelom otkriva da je većina naših datoteka uspješno pronađena, iako su neki problemi (npr., 00000012.jpg).

Zaključak

U primjeru brzog igranja, TestDisk je uspio oporaviti dva izbrisana particija, a PhotoRec i Foremost uspjeli su oporaviti svih 20 izbrisanih slika. Skalpel je oporavio većinu datoteka, ali vrlo je vjerojatno da će igranje s opcijama naredbenog retka za skalpel omogućiti da obnovimo svih 20 slika.

Ovi su alati spasitelji kada se nešto ne dogodi s vašim tvrdim diskom. Ako su vaši podaci negdje na tvrdom disku, jedan od tih alata će ga pratiti!