Główna » jak » Odzyskiwanie danych jak ekspert kryminalistyki Korzystanie z płyty CD Ubuntu Live

    Odzyskiwanie danych jak ekspert kryminalistyki Korzystanie z płyty CD Ubuntu Live

    Istnieje wiele narzędzi do odzyskiwania skasowanych plików, ale co zrobić, jeśli nie można uruchomić komputera lub cały dysk został sformatowany? Pokażemy Ci narzędzia, które będą się głęboko kopać i odzyskać najbardziej nieuchwytne usunięte pliki, a nawet całe partycje dysków twardych.

    Pokazaliśmy wam proste sposoby na odzyskanie przypadkowo usuniętych plików, nawet prostą metodę, którą można zrobić z płyty Ubuntu Live CD, ale w przypadku dysków twardych, które zostały mocno uszkodzone, te metody nie będą go ograniczać. W tym artykule zbadamy cztery narzędzia, które mogą odzyskać dane z najbardziej pomieszanych dysków twardych, niezależnie od tego, czy zostały sformatowane dla komputera z systemem Windows, Linux lub Mac, czy nawet jeśli tablica partycji została całkowicie zniszczona..

    Uwaga: te narzędzia nie mogą odzyskać danych, które zostały nadpisane na dysku twardym. To, czy usunięty plik został nadpisany, zależy od wielu czynników - im szybciej zorientujesz się, że chcesz odzyskać plik, tym większe prawdopodobieństwo, że będziesz w stanie to zrobić.

    Nasza konfiguracja

    Aby wyświetlić te narzędzia, przygotowaliśmy mały dysk twardy o pojemności 1 GB, z połową przestrzeni partycjonowanej jako ext2, systemem plików używanym w systemie Linux i połową przestrzeni partycjonowanej jako FAT32, systemu plików używanego w starszych systemach Windows. Na każdym twardym dysku zapisaliśmy dziesięć losowych obrazów.

    Następnie wyczyściliśmy tablicę partycji z dysku twardego, usuwając partycje w GParted.

    Czy nasze dane zostaną utracone na zawsze?

    Instalowanie narzędzi

    Wszystkie narzędzia, których używamy, znajdują się w Ubuntu wszechświat magazyn.

    Aby włączyć repozytorium, otwórz Menedżera pakietów Synaptic, klikając System w lewym górnym rogu, a następnie Administracja> Menedżer pakietów Synaptic.

    Kliknij Ustawienia> Repozytoria i dodaj zaznaczenie w polu "Wspierane przez społeczność oprogramowanie Open Source (wszechświat)".

    Kliknij Zamknij, a następnie w głównym oknie Menedżera pakietów Synaptic kliknij przycisk Odśwież. Po przeładowaniu listy pakietów i odbudowaniu indeksu wyszukiwania wyszukaj i oznacz, aby zainstalować jeden lub wszystkie następujące pakiety: testdisk, główny, i skalpel.

    Testdisk obejmuje TestDisk, który może odzyskać utracone partycje i naprawić sektory startowe, oraz PhotoRec, który może odzyskać wiele różnych typów plików z ton różnych systemów plików.

    Główny, pierwotnie opracowany przez Biuro Specjalnych Badań Sił Powietrznych USA, odzyskuje pliki na podstawie ich nagłówków i innych wewnętrznych struktur. Przede wszystkim działa na dyskach twardych lub generuje pliki obrazów generowane przez różne narzędzia.

    Wreszcie, skalpel pełni te same funkcje, ale koncentruje się na zwiększeniu wydajności i zmniejszeniu zużycia pamięci. Skalpel może działać lepiej, jeśli masz starszą maszynę z mniejszą ilością pamięci RAM.

    Odzyskaj partycje dysków twardych

    Jeśli nie możesz zamontować dysku twardego, jego tabela partycji może być uszkodzona. Zanim zaczniesz próbować odzyskać ważne pliki, możesz odzyskać jedną lub więcej partycji na swoim dysku, odzyskując wszystkie pliki z jednym krokiem.

    Testdisk jest narzędziem do pracy. Uruchom go, otwierając terminal (Aplikacje> Akcesoria> Terminal) i wpisując:

    sudo testdisk

    Jeśli chcesz, możesz utworzyć plik dziennika, ale nie wpłynie to na ilość odzyskiwanych danych. Po dokonaniu wyboru zostaje wyświetlona lista nośników pamięci na komputerze. Powinieneś być w stanie zidentyfikować dysk twardy, na który chcesz odzyskać partycje, według jego rozmiaru i etykiety.

    TestDisk poprosi o wybranie typu tabeli partycji do wyszukania. W większości przypadków (ext2 / 3, NTFS, FAT32 itd.) Powinieneś wybrać Intel i nacisnąć Enter.

    Podświetl Analiza i naciśnij enter.

    W naszym przypadku nasz mały dysk twardy został wcześniej sformatowany jako NTFS. O dziwo, TestDisk znajduje tę partycję, ale nie jest w stanie jej odzyskać.

    Znajduje także dwie partycje, które właśnie usunęliśmy. Możemy zmienić ich atrybuty lub dodać więcej partycji, ale odzyskamy je po naciśnięciu klawisza Enter.

    Jeśli TestDisk nie znalazł wszystkich twoich partycji, możesz spróbować wykonać głębsze wyszukiwanie, wybierając tę ​​opcję za pomocą klawiszy strzałek w lewo iw prawo. Mieliśmy tylko te dwie partycje, więc odzyskamy je, wybierając Write i naciskając Enter.

    Testdisk informuje nas, że będziemy musieli zrestartować komputer.

    Uwaga: Jeśli Twoja Ubuntu Live CD nie jest trwała, to po ponownym uruchomieniu będziesz musiał ponownie zainstalować wszystkie zainstalowane wcześniej narzędzia.

    Po ponownym uruchomieniu obie nasze partycje powracają do swoich pierwotnych stanów, obrazów i wszystkiego.

    Odzyskaj pliki niektórych typów

    W poniższych przykładach usunęliśmy 10 zdjęć z obu partycji, a następnie sformatowano je ponownie.

    PhotoRec

    Spośród trzech narzędzi, które pokażemy, PhotoRec jest najbardziej przyjazny dla użytkownika, mimo że jest narzędziem konsolowym. Aby rozpocząć odzyskiwanie plików, otwórz terminal (Aplikacje> Akcesoria> Terminal) i wpisz:

    sudo photorec

    Aby rozpocząć, użytkownik zostanie poproszony o wybranie urządzenia pamięci masowej do wyszukiwania. Powinieneś być w stanie zidentyfikować właściwe urządzenie według jego rozmiaru i etykiety. Wybierz odpowiednie urządzenie, a następnie naciśnij Enter.

    PhotoRec poprosi o wybór typu partycji do przeszukania. W większości przypadków (ext2 / 3, NTFS, FAT itp.) Powinieneś wybrać Intel i nacisnąć Enter.

    Otrzymasz listę partycji na wybranym dysku twardym. Jeśli chcesz odzyskać wszystkie pliki na partycji, wybierz Wyszukaj i naciśnij enter.

    Jednak proces ten może być bardzo powolny, a w naszym przypadku chcemy tylko szukać plików ze zdjęciami, więc zamiast tego używamy klawisza strzałki w prawo, aby wybrać File Opt i nacisnąć Enter.

    PhotoRec może odzyskać wiele różnych typów plików, a cofnięcie wyboru każdej z nich zajmuje dużo czasu. Zamiast tego wciskamy "s", aby wyczyścić wszystkie wybrane opcje, a następnie odszukaj odpowiednie typy plików - jpg, gif i png - i wybierz je, naciskając klawisz strzałki w prawo.

    Po wybraniu tych trzech, wciskamy "b", aby zapisać te wybory.

    Naciśnij klawisz Enter, aby powrócić do listy partycji dysku twardego. Chcemy przeszukać obie nasze partycje, dlatego zaznaczamy "Bez partycji" i "Szukaj", a następnie wciskamy Enter.

    PhotoRec pyta o lokalizację do przechowywania odzyskanych plików. Jeśli masz inny zdrowy dysk twardy, zalecamy przechowywanie odzyskanych plików. Ponieważ nie odzyskamy zbyt wiele, będziemy przechowywać go na pulpicie Ubuntu Live CD.

    Uwaga: nie odzyskuj plików na dysk twardy, z którego odzyskujesz.

    PhotoRec jest w stanie odzyskać 20 zdjęć z partycji na naszym twardym dysku!

    Szybkie sprawdzenie w katalogu recup_dir.1, który utworzy, potwierdza, że ​​PhotoRec odzyskał wszystkie nasze zdjęcia, zapisując nazwy plików.

    Główny

    Foremost to program wiersza poleceń bez interaktywnego interfejsu, takiego jak PhotoRec, ale oferuje wiele opcji wiersza poleceń, aby uzyskać jak najwięcej danych z dysku, jak to możliwe.

    Aby uzyskać pełną listę opcji, które można modyfikować za pomocą wiersza poleceń, otwórz terminal (Aplikacje> Akcesoria> Terminal) i wpisz:

    przede wszystkim -h

    W naszym przypadku opcje wiersza poleceń, które zamierzamy użyć, to:

    • -t, rozdzielana przecinkami lista typów plików do wyszukania. W naszym przypadku jest to "jpeg, png, gif".
    • -v, włączanie trybu verbose, dając nam więcej informacji o tym, co najważniejsze.
    • -o, folder wyjściowy do przechowywania odzyskanych plików. W naszym przypadku utworzyliśmy katalog o nazwie "przede wszystkim" na pulpicie.
    • -i, dane wejściowe, które będą wyszukiwane w poszukiwaniu plików. Może to być obraz dysku w kilku różnych formatach; jednak użyjemy dysku twardego, / dev / sda.

    Nasza główna inwokacja to:

    sudo główny -t jpeg, png, gif -o pierwszy -v -i / dev / sda

    Twoja inwokacja będzie różnić się w zależności od tego, czego szukasz i gdzie go szukasz.

    Foremost jest w stanie odzyskać 17 z 20 plików przechowywanych na dysku twardym.

    Patrząc na pliki, możemy potwierdzić, że te pliki zostały odzyskane stosunkowo dobrze, chociaż możemy zobaczyć pewne błędy w miniaturze do 00622449.jpg.

    Część tego może wynikać z systemu plików ext2. Przede wszystkim zaleca użycie opcji -d dla Linuksowych systemów plików takich jak ext2.

    Ponownie uruchomimy wszystko, dodając opcję wiersza polecenia -d do naszej najważniejszej inwokacji:

    sudo przednie -t jpeg, png, gif -d -o przed wszystkim -v -i / dev / sda

    Tym razem jest w stanie odzyskać wszystkie 20 obrazów!

    Ostateczne spojrzenie na zdjęcia pokazuje, że zdjęcia zostały odzyskane bez żadnych problemów.

    Skalpel

    Scalpel to kolejny potężny program, który podobnie jak Foremost jest silnie konfigurowalny. W przeciwieństwie do Foremost, Scalpel wymaga edycji pliku konfiguracyjnego przed próbą odzyskania danych.

    Może to zrobić dowolny edytor tekstu, ale użyjemy gedit do zmiany pliku konfiguracyjnego. W oknie terminala (Aplikacje> Akcesoria> Terminal) wpisz:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf zawiera informacje o wielu różnych typach plików. Przewiń ten plik i odkomentuj linie rozpoczynające się od typu pliku, który chcesz odzyskać (tj. Usuń znak "#" na początku tych wierszy).

    Zapisz plik i zamknij go. Wróć do okna terminala.

    Scalpel ma również mnóstwo opcji wiersza poleceń, które mogą pomóc Ci szybko i skutecznie wyszukiwać; jednak po prostu zdefiniujemy urządzenie wejściowe (/ dev / sda) i folder wyjściowy (folder o nazwie "skalpel", który utworzyliśmy na pulpicie).

    Nasza inwokacja to:

    Skalpel sudo skalpel / dev / sda -o

    Scalpel jest w stanie odzyskać 18 z naszych 20 plików.

    Szybkie spojrzenie na odzyskane pliki skalpela pokazuje, że większość naszych plików została odzyskana pomyślnie, chociaż wystąpiły pewne problemy (np. 00000012.jpg).

    Wniosek

    W naszym przykładzie szybkiej zabawy TestDisk był w stanie odzyskać dwie usunięte partycje, a PhotoRec i Foremost były w stanie odzyskać wszystkie 20 skasowanych obrazów. Scalpel odzyskał większość plików, ale jest bardzo prawdopodobne, że gra z opcjami wiersza poleceń dla skalpela pozwoliłaby nam odzyskać wszystkie 20 obrazów.

    Te narzędzia są ratunkowe, gdy coś pójdzie nie tak z twoim dyskiem twardym. Jeśli twoje dane znajdują się gdzieś na dysku twardym, to jedno z tych narzędzi je wyśledzi!

    Odzyskaj pliki z kopiami w tle na dowolnej wersji systemu Windows Vista
    Odzyskiwanie utraconych danych formularzy w Firefoksie
    Nagrywaj filmy wideo na dowolnym systemie operacyjnym za darmo
    Następny artykuł
    Odzyskaj usunięte pliki na dysku twardym NTFS z płyty CD Ubuntu Live
    Poprzedni artykuł
    Nagraj swoje sesje wiersza poleceń z Asciinema