Oporavak podataka kao forenzički stručnjak pomoću Ubuntu Live CD-a
Postoji mnogo uslužnih programa za oporavak izbrisanih datoteka, ali što ako ne možete podići vaše računalo ili je cijeli pogon formatiran? Mi ćemo vam pokazati neke alate koji će kopati duboko i oporaviti najviše nedostižan izbrisane datoteke, ili čak i cijeli disk particije.
Pokazali smo vam jednostavne načine za oporavak slučajno izbrisanih datoteka, čak i jednostavnu metodu koja se može izvesti s Ubuntu Live CD-a, ali za tvrde diskove koji su jako korumpirani, te metode neće je smanjiti. U ovom članku ispitat ćemo četiri alata koji mogu oporaviti podatke s najviše zabranjenih tvrdih diskova, bez obzira na to jesu li formatirani za Windows, Linux ili Mac računalo, ili čak ako je tablica particija potpuno izbrisana.
Napomena: Ovi alati ne mogu oporaviti podatke koji su prepisani na tvrdom disku. Da li je izbrisana datoteka prebrisana ovisi o mnogim čimbenicima - što brže shvatite da želite vratiti datoteku, to je vjerojatnije da ćete to moći učiniti.
Naše postavljanje
Da bismo prikazali ove alate, postavili smo mali tvrdi disk od 1 GB, s polovicom prostora particioniranog kao ext2, datotečni sustav koji se koristi u Linuxu, a pola prostora particioniranog kao FAT32, datotečni sustav koji se koristi u starijim Windows sustavima. Spremili smo deset slučajnih slika na svaki tvrdi disk.
Zatim smo obrisali tablicu particije s tvrdog diska brisanjem particija u GParted.
Jesu li naši podaci zauvijek izgubljeni?
Instaliranje alata
Svi alati koje ćemo koristiti su u Ubuntuu svemir skladište.
Da biste omogućili spremište, otvorite Synaptic Package Manager klikom na System u gornjem lijevom, a zatim na Administration> Synaptic Package Manager.
Kliknite Postavke> Spremišta i dodajte potvrdni okvir s oznakom "Open Source softver (univerzum) koji se održava u zajednici".
Kliknite Zatvori, a zatim u glavnom prozoru Synaptic Package Manager kliknite gumb Ponovo učitaj. Nakon ponovnog učitavanja popisa paketa i ponovne izgradnje indeksa pretraživanja, potražite i označite za instalaciju jedan ili sve od sljedećih paketa: TestDisk, najistaknutiji, i skalpel.
TestDisk uključuje TestDisk, koji može obnoviti izgubljene particije i popraviti boot sektore, te PhotoRec, koji može oporaviti mnogo različitih vrsta datoteka iz tona različitih datotečnih sustava.
najistaknutiji, izvorno ga je razvio Ured američkih zrakoplovnih snaga za posebne istrage, oporavlja datoteke na temelju njihovih zaglavlja i drugih unutarnjih struktura. Prije svega radi na tvrdim diskovima ili pogoniti slikovne datoteke koje generiraju razni alati.
Konačno, skalpel obavlja iste funkcije kao i prije, ali je usredotočen na poboljšane performanse i manju potrošnju memorije. Skalpel može bolje raditi ako imate stariji stroj s manje RAM-a.
Oporavak particija tvrdog diska
Ako ne možete montirati tvrdi disk, njegova particijska tablica može biti oštećena. Prije nego što počnete pokušavati oporaviti važne datoteke, možda ćete moći oporaviti jednu ili više particija na vašem pogonu, oporavak svih datoteka s jednim korakom.
TestDisk je alat za posao. Pokrenite ga otvaranjem terminala (Applications> Accessories> Terminal) i upisivanjem:
sudo testdisk
Ako želite, možete stvoriti datoteku dnevnika, iako to neće utjecati na količinu podataka koje ćete vratiti. Nakon što odaberete, dočekat će vas popis medija za pohranu na vašem računalu. Svojom veličinom i oznakom trebali biste moći prepoznati tvrdi disk koji želite vratiti na particije.
TestDisk traži da odaberete vrstu tablice particija za pretraživanje. U većini slučajeva (ext2 / 3, NTFS, FAT32, itd.) Trebate odabrati Intel i pritisnuti Enter.
Označite Analiziraj i pritisnite enter.
U našem slučaju, naš mali tvrdi disk je prethodno bio formatiran kao NTFS. Nevjerojatno, ali TestDisk pronalazi ovu particiju, iako je ne može oporaviti.
Također pronalazi dvije particije koje smo upravo izbrisali. U mogućnosti smo promijeniti njihove atribute ili dodati više particija, ali ćemo ih samo oporaviti pritiskom na Enter.
Ako TestDisk nije pronašao sve vaše particije, možete pokušati napraviti dublju pretragu odabirom te opcije lijevom i desnom tipkom sa strelicama. Imali smo samo ove dvije particije, pa ćemo ih oporaviti odabirom Write i pritiskom na Enter.
Testdisk nas obavještava da ćemo morati ponovno pokrenuti sustav.
Napomena: Ako vaš Ubuntu Live CD nije postojan, onda kada ponovno pokrenete sustav morat ćete ponovo instalirati sve alate koje ste ranije instalirali.
Nakon ponovnog pokretanja, obje naše particije vraćaju se u izvorna stanja, slike i sve ostalo.
Obnova datoteka određenih vrsta
Za sljedeće primjere izbrisali smo 10 slika s obje particije i zatim ih ponovo formatirali.
PhotoRec
Od tri alata koje ćemo pokazati, PhotoRec je najkorisniji za korisnika, unatoč tome što je zasnovan na konzoli. Da biste pokrenuli oporavak datoteka, otvorite terminal (Aplikacije> Pribor> Terminal) i upišite:
sudo photorec
Za početak, od vas se traži da odaberete uređaj za pohranu za pretraživanje. Trebali biste moći identificirati pravi uređaj prema njegovoj veličini i oznaci. Odaberite pravi uređaj, a zatim pritisnite Enter.
PhotoRec traži da odaberete vrstu particije za pretraživanje. U većini slučajeva (ext2 / 3, NTFS, FAT, itd.) Trebate odabrati Intel i pritisnuti Enter.
Dobit ćete popis particija na odabranom tvrdom disku. Ako želite oporaviti sve datoteke na particiji, odaberite Traži i pritisnite Enter.
Međutim, ovaj proces može biti vrlo spor, au našem slučaju samo želimo tražiti datoteke slika, pa umjesto toga koristimo tipku sa strelicom desno za odabir opcije File Opt i pritisnemo Enter.
PhotoRec može oporaviti mnoge različite vrste datoteka, a poništavanje odabira svake od njih će potrajati dugo. Umjesto toga, pritisnemo tipku "s" da obrišemo sve odabire, a zatim pronađemo odgovarajuće vrste datoteka - jpg, gif i png - i odaberemo ih pritiskom na tipku sa strelicom udesno.
Nakon što odaberemo ova tri, pritisnemo “b” da bismo spremili ove odabire.
Pritisnite enter za povratak na popis particija tvrdog diska. Želimo pretražiti obje naše particije, tako da označimo "No partition" i "Search", a zatim pritisnemo Enter.
PhotoRec traži mjesto za pohranjivanje oporavljenih datoteka. Ako imate drugi zdravi tvrdi disk, preporučujemo da tamo pohranite oporavljene datoteke. Budući da se ne oporavljamo, pohranit ćemo ga na radnu površinu Ubuntu Live CD-a.
Napomena: Nemojte vraćati datoteke na tvrdi disk od kojeg se oporavljate.
PhotoRec može oporaviti 20 slika s particija na našem tvrdom disku!
Brz pogled u direktorij recup_dir.1 koji stvara potvrđuje da je PhotoRec oporavio sve naše slike, osim imena datoteka.
najistaknutiji
Prvenstveno je program naredbenog retka bez interaktivnog sučelja kao što je PhotoRec, ali nudi brojne mogućnosti naredbenog retka kako biste dobili što je moguće više podataka iz vašeg postojećeg pogona.
Za potpuni popis opcija koje se mogu podesiti putem naredbenog retka, otvorite terminal (Aplikacije> Pribor> Terminal) i upišite:
prije svega -h
U našem slučaju, opcije naredbenog retka koje ćemo koristiti su:
- -t, popis tipova datoteka za pretraživanje koji je razdvojen zarezom. U našem slučaju, ovo je "jpeg, png, gif".
- -v, omogućujući opširan način rada, dajući nam više informacija o tome što prije svega radi.
- -o, izlazna mapa za pohranjivanje oporavljenih datoteka. U našem slučaju, stvorili smo direktorij nazvan "najistaknutiji" na radnoj površini.
- -i, ulaz koji će se tražiti za datoteke. To može biti slika diska u nekoliko različitih formata; međutim, koristit ćemo tvrdi disk / dev / sda.
Naš glavni poziv je:
sudo prije svega -t jpeg, png, gif -svakako -v -i / dev / sda
Vaš poziv će se razlikovati ovisno o tome što tražite i gdje ga tražite.
Prije svega je u stanju oporaviti 17 od 20 datoteka pohranjenih na tvrdom disku.
Gledajući datoteke, možemo potvrditi da su te datoteke oporavljene relativno dobro, iako možemo vidjeti neke pogreške u sličici za 00622449.jpg.
Dio toga može biti zbog ext2 datotečnog sustava. Najviše preporučuje korištenje opcije -d naredbenog retka za Linux datotečne sustave kao što je ext2.
Ponovno ćemo raditi, dodajući opciju -d naredbenog retka na naš najistaknutiji poziv:
sudo foremost -t jpeg, png, gif-d -sveo -v -i / dev / sda
Ovaj put, prije svega je u stanju vratiti sve 20 slika!
Konačni pogled na slike otkriva da su slike pronađene bez problema.
Skalpel
Skalpel je još jedan moćan program koji se, poput Foremosta, može jako konfigurirati. Za razliku od Foremosta, Scalpel zahtijeva da uredite konfiguracijsku datoteku prije pokušaja obnavljanja podataka.
Svaki uređivač teksta će to učiniti, ali koristit ćemo gedit za promjenu konfiguracijske datoteke. U prozoru terminala (Aplikacije> Pribor> Terminal) upišite:
sudo gedit /etc/scalpel/scalpel.conf
scalpel.conf sadrži informacije o brojnim različitim vrstama datoteka. Pomičite se kroz ovu datoteku i rekomanirajte retke koje počinju s vrstom datoteke koju želite obnoviti (tj. Uklonite znak "#" na početku tih redaka).
Spremite datoteku i zatvorite je. Vratite se u prozor terminala.
Skalpel također ima mnogo opcija naredbenog retka koje vam mogu pomoći u brzom i učinkovitom pretraživanju; međutim, samo ćemo definirati ulazni uređaj (/ dev / sda) i izlaznu mapu (mapu nazvanu "skalpel" koju smo stvorili na radnoj površini).
Naš poziv je:
skalpel sudo skalpela / dev / sda -o
Skalpel može oporaviti 18 od 20 datoteka.
Brz pogled na datoteke koje je oporavio skalpel otkriva da je većina naših datoteka uspješno oporavljena, iako je bilo nekih problema (npr. 00000012.jpg).
Zaključak
U našem brzom primjeru igračaka, TestDisk je uspio oporaviti dvije izbrisane particije, a PhotoRec i Foremost su uspjeli oporaviti svih 20 izbrisanih slika. Scalpel je oporavio većinu datoteka, ali vrlo je vjerojatno da bi igranje s opcijama naredbenog retka za skalpel omogućilo oporavak svih 20 slika.
Ovi alati su spasioci kada nešto krene po zlu s vašim tvrdim diskom. Ako su vaši podaci negdje na tvrdom disku, jedan od tih alata će ga pratiti!
