Atkurti duomenis kaip teismo ekspertizę naudojant Ubuntu Live CD

2024 Autorius: Geoffrey Carr | [email protected]. Paskutinį kartą keistas: 2023-12-17 10:53

Norint atkurti ištrintus failus, yra daugybė priemonių, tačiau, jei negalėsite paleisti kompiuterio, ar visas diskas buvo suformatuotas? Mes parodysime jums keletą įrankių, kurie bus kasti giliai ir atkurs labiausiai nestabilius ištrintus failus ar net visą kietojo disko skaidinius.

Parodėme jums paprastus būdus, kaip atkurti netyčia ištrintus failus, netgi paprastą metodą, kurį galima padaryti iš "Ubuntu Live" kompaktinio disko, bet labai sugadintų standžiųjų diskų atveju šie metodai nesikiša. Šiame straipsnyje apžvelgsime keturis įrankius, kurie gali atkurti duomenis iš labiausiai sugadintų kietųjų diskų, nepriklausomai nuo to, ar jie buvo suformatuoti "Windows", "Linux" ar "Mac" kompiuteriui, ar net jei ištrynimo lentelė visiškai ištrinama.

Pastaba: šie įrankiai negali atkurti duomenų, kurie buvo perrašyti į standųjį diską. Nesvarbu, ar išbrauktas failas buvo perrašytas, priklauso nuo daugelio veiksnių. Kuo greičiau jūs suprasite, kad norite atkurti failą, tuo labiau tikėtina, kad galėsite tai padaryti.

Mūsų nustatymas

Norėdami parodyti šiuos įrankius, sukūrėme nedidelį 1 GB standųjį diską, kuriame pusė erdvės buvo padalinta kaip ext2, Linux naudojama failų sistema ir pusė vietos, suskirstytos kaip FAT32, naudojama senesnėse Windows sistemose. Kiekviename kietajame diske išsaugojome dešimt atsitiktinių nuotraukų.

Tada mes išvalome iš kietojo disko skaidinį lentelę, ištrindami skirsnius GParted.

Įrankių diegimas

Visos priemonės, kurias ketiname naudoti, yra Ubuntu visata saugykla.

Jei norite įjungti saugyklą, atidarykite "Synaptic Package Manager", spragtelėdami "System" viršuje kairėje, tada "Administration"> "Synaptic Package Manager".

Spustelėkite "Nustatymai"> "Saugyklos" ir pridėkite pažymėjimą laukelyje "Bendruomenės palaikoma atvirojo kodo programinė įranga (visata)".

Spustelėkite Uždaryti, tada pagrindiniame "Synaptic Package Manager" lange spustelėkite atnaujinimo mygtuką. Kai paketų sąrašas perkrautas ir paieškos indeksas pertvarkytas, suraskite ir pažymėkite, ar norite įdiegti vieną ar visus toliau nurodytus paketus: testdisk, pirmiausia, ir skalpelis.

Testdisk apima "TestDisk", kuris gali susigrąžinti prarastas skaidinius ir taisyti įkrovos sektorius, ir "PhotoRec", kuris gali atkurti daug skirtingų tipų failus iš tonų skirtingų failų sistemų.

Pirmiausia, kurią iš pradžių sukūrė JAV karinių oro pajėgų specialiųjų tyrimų tarnyba, atkuria failus pagal jų antraštes ir kitas vidines struktūras. Pirmiausia veikia kietuosiuose diskuose arba diskų įvaizdžio bylose, sukurtose įvairiais įrankiais.

Pagaliau, skalpelis atlieka tas pačias funkcijas kaip ir pirmiausia, bet daugiausia dėmesio skiria našumui ir mažesniam atminties naudojimui. Skalelė gali veikti geriau, jei turite senesnę mašiną, kurioje yra mažiau RAM.

Atkurti kietojo disko skaidinius

Jei negalėsite kietojo disko prijungti, tada jo skirsnių lentelė gali būti sugadinta. Prieš pradėdami bandyti susigrąžinti svarbius failus, gali būti įmanoma atkurti vieną ar daugiau disko dalių, atkurdami visus failus vienu žingsniu.

Testdisk yra darbo įrankis. Pradėkite jį atidarydami terminalą ("Applications> Accessories> Terminal") ir įvesdami:


sudo testdisk

Jei norite, galite sukurti žurnalo failą, tačiau tai neturės įtakos duomenų kiekiui, kurį atkursite. Kai pasirinksite, būsite pasveikinti su jūsų įrenginyje esančios laikmenos sąrašu. Turėtumėte sugebėti identifikuoti kietąjį diską, kurį norite atkurti pertvaros pagal jo dydį ir etiketę.

"TestDisk" prašo pasirinkti, kokio tipo pertvarų lentelę ieškoti. Daugeliu atvejų (ext2 / 3, NTFS, FAT32 ir kt.) Turėtumėte pasirinkti "Intel" ir paspausti "Enter".

Pažymėkite Analyze ir paspauskite enter.

Mūsų atveju mūsų mažasis kietasis diskas anksčiau buvo suformatuotas kaip NTFS. Nuostabu, "TestDisk" suranda šį skaidinį, nors jis negali atkurti.

Taip pat aptinkamos dvi ištrintos skaidulos. Mes galime pakeisti savo atributus arba pridėti daugiau skaidybių, bet mes tik juos atstatysime paspausdami Enter.

Jei "TestDisk" neranda visų jūsų pertvarų, galite pabandyti atlikti gilesnę paiešką pasirinkdami šią parinktį, naudodami kairiuosius ir dešinius rodyklių klavišus. Turėjome tik šias dvi skaidinius, todėl jas atkursime pasirinkę Rašymas ir paspaudę Enter.

"Testdisk" informuoja mus, kad turėsime iš naujo paleisti kompiuterį.

Pastaba: jei jūsų "Ubuntu Live" kompaktinis diskas nėra patvarus, tada, kai iš naujo paleisite kompiuterį, turėsite iš naujo įdiegti anksčiau įdiegtus įrankius.

Paleidę iš naujo, abu mūsų pertvaros grįš į pradines būsenas, paveikslėlius ir visus.

Atkurti tam tikrų tipų failus

Toliau pateikiamiems pavyzdžiams mes ištrynėme 10 paveikslėlių iš abiejų skirsnių ir juos iš naujo formavome.

PhotoRec

Iš trijų įrankių, kuriuos parodysime PhotoRec yra patogiausias vartotojui, nepaisant to, kad jis yra konsolinė programa. Norėdami pradėti atkurti failus, atidarykite terminalą ("Applications> Accessories> Terminal") ir įveskite:


sudo photorec

Norėdami pradėti, jūs paprašysite pasirinkti saugojimo įrenginį, kurį norite ieškoti. Turėtumėte sugebėti nustatyti tinkamą įrenginį pagal jo dydį ir etiketę. Pasirinkite tinkamą įrenginį, tada paspauskite Enter.

"PhotoRec" prašo pasirinkti, kokį formatą norite ieškoti. Daugeliu atvejų (ext2 / 3, NTFS, FAT ir kt.) Turėtumėte pasirinkti "Intel" ir paspausti "Enter".

Jums pateikiamas pasirinkto kietojo disko skirsnių sąrašas.Jei norite susigrąžinti visus failus pertvaroje, pasirinkite Search ir paspauskite enter.

Tačiau šis procesas gali būti labai lėtas, o mūsų atveju mes tik norime ieškoti nuotraukų failų, todėl vietoj to mes naudojame dešiniojo rodyklės klavišą, kad pasirinktumėte failo pasirinkimą ir paspauskite Enter.

"PhotoRec" gali atkurti daugybę skirtingų tipų failų, o kiekvieno išrinkimo panaikinimas užtruks ilgą laiką. Vietoj to mes paspaudžiame "s", norėdami išvalyti visus pasirinkimus, tada suraskite tinkamus failų tipus - jpg, gif ir png - ir pasirinkite jas paspausdami dešiniojo rodyklės klavišą.

Pasirinkę šiuos tris, paspausdami "b", išsaugokite šiuos pasirinkimus.

Paspauskite enter, kad grįžtumėte į kietojo disko skirsnių sąrašą. Mes norime ieškoti abiejų mūsų pertvarų, todėl paryškiname "No partition" ir "Search" ir paspauskite Enter.

"PhotoRec" raginama vietos, kurioje būtų saugomi susigrąžinti failai. Jei turite kitokį sveiką kietąjį diską, rekomenduojame ten saugomus atkurtus failus saugoti. Kadangi mes labai nepasiekiame, mes jį saugome "Ubuntu Live CD" darbalaukyje.

Pastaba: nepavyksta atkurti failų kietajame diske, nuo kurio atsigauna.

"PhotoRec" gali atkurti 20 paveikslėlių iš mūsų kietajame diske esančių skaidinių!

Greitas ieškojimas kataloge recup dir.1, kurį jis sukuria, patvirtina, kad PhotoRec atkūrė visas nuotraukas, išskyrus failų pavadinimus.

Pirmiausia

Pirmiausia yra komandinės eilutės programa, neturinti interaktyvios sąsajos, pvz., PhotoRec, tačiau siūlo keletą komandinės eilutės parinkčių, kad galėtumėte gauti kuo daugiau duomenų iš savo disko.

Norėdami pamatyti pilną sąrašą parinkčių, kurias galima keisti naudojant komandų eilutę, atidarykite terminalą ("Applications> Accessories> Terminal") ir įveskite:


foremost –h

Mūsų atveju komandinės eilutės parinktys, kurias ketiname naudoti, yra šios:

-t, kableliais atskirtų failų tipų sąrašas, kurį norite ieškoti. Mūsų atveju tai yra "jpeg, png, gif".
-v, leidžiantis verbose režimą, suteikiant mums daugiau informacijos apie tai, ką daro pirmiausia.
-o, išvesties aplankas, kuriame saugomi atkurti failai. Mūsų atveju mes sukūrėme katalogą, pavadintą "foremost", darbalaukyje.
-i, įvestis, į kurią bus ieškoma failų. Tai gali būti disko vaizdas keliuose skirtinguose formatuose; Tačiau naudosim kietąjį diską, / dev / sda.

Mūsų pirmiausia yra:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Jūsų paskyra skirsis priklausomai nuo to, ko ieškote ir kur ieškote.

Pirmasis gali susigrąžinti 17 iš 20 failų, saugomų kietajame diske.

Žiūrėdami į failus, galime patvirtinti, kad šie failai buvo sugrąžinti gana gerai, nors galime pamatyti kai kurias klaidas 00622449.jpg miniatiūroje.

Tai gali būti dėl ext2 failų sistemos. Pirmiausia rekomenduoja naudoti "-d" komandų eilutės parinktį "Linux" failų sistemoms, pvz., "Ext2".

Mes vėl pradėsime veikti, pridedant -d komandų eilutės parinktį pirmaujančiajai paskyrai:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Šiuo metu pirmiausia galima atkurti visus 20 vaizdų!

Galutinis vaizdas į nuotraukas atskleidžia, kad nuotraukos buvo atkurtos be jokių problemų.

Skalpelis

Scalpel yra dar viena galinga programa, kuri, kaip ir "Foremost", yra itin konfigūruojama. Prieš bandant bet kokį duomenų atkūrimą, Scalpel, skirtingai nuo Foremost, reikia redaguoti konfigūracijos failą.

Bet koks teksto redaktorius darys, bet mes turėsime naudoti "Gedit", norėdami pakeisti konfigūracijos failą. Terminalo lange (Programos> Priedai> Terminalas) įveskite:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf yra informacijos apie keletą skirtingų failų tipų. Peržiūrėkite šį failą ir atmeskite linijas, kurios prasideda failo tipu, kurį norite atkurti (t. Y. Pašalinkite "#" simbolį šių eilučių pradžioje).

Išsaugokite failą ir uždarykite jį. Grįžti į terminalo langą.

"Scalpel" taip pat turi toną komandinės eilutės parinkčių, kurios gali padėti jums greitai ir efektyviai ieškoti; tačiau mes tiesiog nustatysime įvesties įrenginį (/ dev / sda) ir išvesties aplanką (aplanką, pavadintą "skalpelis", kurį sukūrėme darbalaukyje).

Mūsų prašymas yra:


sudo scalpel /dev/sda –o scalpel

Skalpelis sugeba atkurti 18 iš mūsų 20 failų.

Greitai pažvelgus į failų skalpelio atkūrimą atskleidžia, kad dauguma mūsų failų buvo atkurta sėkmingai, nors kilo problemų (pvz., 00000012.jpg).

Išvada

Mūsų greito žaislinio pavyzdžio "TestDisk" metu galėjo atkurti du ištrintus skaidinius, o "PhotoRec" ir "Foremost" sugebėjo atkurti visus 20 ištrintų vaizdų. "Scalpel" atkūrė daugumą failų, tačiau labai tikėtina, kad žaisti su komandų eilutės parinktimis skalpeliui leistų mums atkurti visus 20 vaizdų.

Šios priemonės yra gelbėjimo priemonės, kai kietajame diske kyla kokia nors klaida. Jei jūsų duomenys yra kietajame diske kažkur, tada vienas iš šių priemonių jį stebės!