Pagina principala » HOWTO » Recuperați datele ca un expert în domeniul criminalisticilor utilizând un CD Ubuntu live

    Recuperați datele ca un expert în domeniul criminalisticilor utilizând un CD Ubuntu live

    Există o mulțime de utilitare pentru a recupera fișierele șterse, dar ce se întâmplă dacă nu puteți încărca computerul sau dacă a fost formatată întreaga unitate? Vă vom arăta câteva instrumente care vor săturați adânc și vor recupera cele mai dificile fișiere șterse sau chiar partițiile întregului hard disk.

    V-am arătat modalități simple de a recupera fișierele șterse accidental, chiar și o metodă simplă care poate fi făcută de pe un CD Ubuntu Live, dar pentru hard-discurile care au fost corupte, aceste metode nu o vor tăia. În acest articol, vom examina patru instrumente care pot recupera datele de pe cele mai defecte hard disk-uri, indiferent dacă au fost formatate pentru un computer Windows, Linux sau Mac sau chiar dacă tabela de partiții este șters.

    Notă: aceste instrumente nu pot recupera datele suprascrise pe un hard disk. Dacă un fișier șters a fost suprascris, depinde de mai mulți factori - cu cât înțelegeți mai repede că doriți să recuperați un fișier, cu atât mai probabil veți fi capabil să faceți acest lucru.

    Setarea noastră

    Pentru a afișa aceste instrumente, am creat o mică unitate de hard disk de 1 GB, jumătate din spațiul partajat ca ext2, un sistem de fișiere utilizat în Linux și jumătate din spațiul partiționat ca FAT32, un sistem de fișiere folosit în sistemele Windows mai vechi. Am stocat zece imagini aleatoare pe fiecare hard disk.

    Apoi am șters masa de partiție de pe hard disk ștergând partițiile din GParted.

    Datele noastre sunt pierdute pentru totdeauna?

    Instalarea instrumentelor

    Toate instrumentele pe care le vom folosi sunt în Ubuntu univers repertoriu.

    Pentru a activa depozitul, deschideți Synaptic Package Manager făcând clic pe System în partea din stânga sus, apoi pe Administration> Synaptic Package Manager.

    Faceți clic pe Setări> Depozite și adăugați un cec în caseta cu eticheta "Software-ul Open Source (universe) menținut de comunitate".

    Faceți clic pe Închidere, apoi, în fereastra principală Synaptic Package Manager, faceți clic pe butonul Reîncărcare. Odată ce reîncărcarea listei de pachete și indexul de căutare au fost reconstruite, căutați și marcați pentru instalare unul sau toate pachetele următoare: TestDisk, primordial, și scalpel.

    TestDisk include TestDisk, care poate recupera partițiile pierdute și repara sectoarele de boot și PhotoRec, care poate recupera multe tipuri diferite de fișiere din tone de sisteme de fișiere diferite.

    primordial, inițial dezvoltat de Biroul de Investigații Speciale al Forțelor Aeriene ale SUA, recuperează fișierele bazate pe titluri și alte structuri interne. În cea mai mare măsură operează pe unități de hard disk sau un fișier de imagine, generat de diverse instrumente.

    In cele din urma, scalpel îndeplinește aceleași funcții ca cel mai important, dar se concentrează pe performanțe îmbunătățite și pe utilizarea mai mică a memoriei. Scalpelul poate funcționa mai bine dacă aveți o mașină mai veche cu mai puțin RAM.

    Recuperați partițiile din hard disk

    Dacă nu vă puteți monta unitatea hard disk, atunci tabela de partiții ar putea fi coruptă. Înainte de a începe să încercați să recuperați fișierele importante, este posibil să recuperați una sau mai multe partiții pe unitatea dvs., recuperând toate fișierele într-un singur pas.

    TestDisk este instrumentul pentru locul de muncă. Porniți-l prin deschiderea unui terminal (Aplicații> Accesorii> Terminal) și tastând:

    sudo testdisk

    Dacă doriți, puteți crea un fișier jurnal, deși nu va afecta cantitatea de date recuperate. După ce vă alegeți, sunteți întâmpinat cu o listă a mediilor de stocare de pe aparat. Ar trebui să puteți identifica hard disk-ul pe care doriți să-l recuperați după dimensiune și etichetă.

    TestDisk vă solicită să selectați tipul de tabelă de partiții pe care să o căutați. În majoritatea cazurilor (ext2 / 3, NTFS, FAT32 etc.) trebuie să selectați Intel și să apăsați Enter.

    Evidențiați Analizați și apăsați pe Enter.

    În cazul nostru, hard disk-ul nostru a fost formatat ca NTFS. Uimitor, TestDisk găsește această partiție, deși nu o poate recupera.

    De asemenea, găsește cele două partiții pe care tocmai le-am șters. Putem schimba atributele lor sau putem adăuga mai multe partiții, dar le vom recupera apăsând pe Enter.

    Dacă TestDisk nu a găsit toate partițiile dvs., puteți încerca o căutare mai aprofundată selectând opțiunea respectivă cu tastele săgeată stânga și dreapta. Am avut doar aceste două partiții, așa că le vom recupera selectând Scrieți și apăsând Enter.

    Testdisk ne informează că va trebui să rebootăm.

    Notă: dacă CD-ul dvs. Ubuntu Live nu este persistent, atunci când reporniți, va trebui să reinstalați toate instrumentele pe care le-ați instalat anterior.

    După repornire, ambele partiții se întorc la stările originale, la fotografiile și la toate.

    Recuperați fișiere de anumite tipuri

    Pentru exemplele următoare, am șters cele 10 imagini din ambele partiții și le-am reformatat.

    PhotoRec

    Dintre cele trei instrumente pe care le vom arăta, PhotoRec este cel mai ușor de utilizat, în ciuda faptului că este un utilitar bazat pe console. Pentru a începe recuperarea fișierelor, deschideți un terminal (Aplicații> Accesorii> Terminal) și introduceți:

    sudo photorec

    Pentru a începe, vi se cere să selectați un dispozitiv de stocare pentru a căuta. Ar trebui să puteți identifica dispozitivul potrivit cu dimensiunea și eticheta acestuia. Selectați dispozitivul potrivit, apoi apăsați Enter.

    PhotoRec vă solicită să selectați tipul de partiție de căutare. În cele mai multe cazuri (ext2 / 3, NTFS, FAT, etc.) trebuie să selectați Intel și să apăsați Enter.

    Vi se oferă o listă a partițiilor de pe unitatea hard disk selectată. Dacă doriți să recuperați toate fișierele dintr-o partiție, selectați Căutare și apăsați Enter.

    Cu toate acestea, acest proces poate fi foarte lent și, în cazul nostru, dorim doar să căutăm fișiere de imagini, așa că în schimb folosim săgeata dreapta pentru a selecta File Opt și apăsați Enter.

    PhotoRec poate recupera multe tipuri diferite de fișiere, iar deselectarea fiecăruia va dura mult timp. În schimb, apăsăm "s" pentru a șterge toate selecțiile și apoi pentru a găsi tipurile de fișiere corespunzătoare - jpg, gif și png - și selectați-le apăsând tasta săgeată dreapta.

    Odată ce le-am selectat pe cele trei, apăsăm "b" pentru a salva aceste selecții.

    Apăsați pe Enter pentru a reveni la lista partițiilor hard disk. Vrem să căutăm ambele partiții, așa că evidențiază "Nicio partiție" și "Căutați", apoi apăsați pe Enter.

    PhotoRec solicită o locație pentru a stoca fișierele recuperate. Dacă aveți un hard disk diferit, vă recomandăm să stocați fișierele recuperate acolo. Deoarece nu recuperăm prea mult, îl vom stoca pe desktop-ul CD-ului Ubuntu Live.

    Notă: Nu recuperați fișierele pe hard diskul pe care îl recuperați.

    PhotoRec reușește să recupereze cele 20 de imagini de pe partițiile de pe hard disk!

    O privire rapidă în directorul recup_dir.1 pe care îl creează confirmă faptul că PhotoRec a recuperat toate imaginile noastre, cu excepția numelor de fișiere.

    primordial

    Cel mai important este un program de linie de comandă fără interfață interactivă, cum ar fi PhotoRec, dar oferă o serie de opțiuni de linie de comandă pentru a obține cât mai multe date de pe urma dvs..

    Pentru o listă completă a opțiunilor care pot fi modificate prin linia de comandă, deschideți un terminal (Aplicații> Accesorii> Terminal) și tastați:

    cel mai important - h

    În cazul nostru, opțiunile de linie de comandă pe care le vom folosi sunt:

    • -t, o listă separată de virgule de tipuri de fișiere pentru a căuta. În cazul nostru, acesta este "jpeg, png, gif".
    • -v, permițând modei verbose, oferindu-ne mai multe informații despre ceea ce face în primul rând.
    • -o, dosarul de ieșire pentru stocarea fișierelor recuperate. În cazul nostru, am creat un director numit "foremost" pe desktop.
    • -i, intrarea care va fi căutată pentru fișiere. Aceasta poate fi o imagine pe disc în mai multe formate diferite; cu toate acestea, vom folosi un hard disk, / dev / sda.

    Prima noastră invocare este:

    sudo cel mai important - jpeg, png, gif - un prim -v -i / dev / sda

    Invitarea dvs. va diferi în funcție de ceea ce căutați și de unde îl căutați.

    Cel mai important este să recuperați 17 din cele 20 de fișiere stocate pe hard disk.

    Privind fișierele, putem confirma că aceste fișiere au fost recuperate relativ bine, deși putem vedea unele erori în miniatură pentru 00622449.jpg.

    O parte din acest lucru se datorează sistemului de fișiere ext2. Înainte de toate recomandă utilizarea opțiunii de linie de comandă -d pentru sistemele de fișiere Linux cum ar fi ext2.

    Vom trece din nou în prim plan, adăugând opțiunea de linie de comandă -d la cea mai importantă invocare:

    sudo în primul rând -t jpeg, png, gif -d -o foremost -v -i / dev / sda

    De data aceasta, în primul rând este în măsură să recupereze toate cele 20 de imagini!

    O privire finală asupra imaginilor arată că fotografiile au fost recuperate fără probleme.

    Scalpel

    Scalpelul este un alt program puternic care, la fel ca Cel mai important, este foarte configurabil. Spre deosebire de Foremost, Scalpelul vă cere să editați un fișier de configurare înainte de a încerca orice recuperare de date.

    Orice editor de text va face, dar vom folosi gedit pentru a schimba fișierul de configurare. Într-o fereastră terminală (Aplicații> Accesorii> Terminal), tastați:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf conține informații despre un număr de tipuri diferite de fișiere. Derulați prin acest fișier și divinați liniile care încep cu un tip de fișier pe care doriți să îl recuperați (adică eliminați caracterul "#" la începutul acestor linii).

    Salvați fișierul și închideți-l. Reveniți la fereastra terminalului.

    Scalpelul are, de asemenea, o multitudine de opțiuni de linie de comandă care vă pot ajuta să căutați rapid și eficient; totuși, vom defini dispozitivul de intrare (/ dev / sda) și directorul de ieșire (un dosar numit "scalpel" pe care l-am creat pe desktop).

    Invocarea noastră este:

    sudo scalpel / dev / sda-un bisturiu

    Scalpelul este capabil să recupereze 18 dintre cele 20 de dosare.

    O privire rapidă asupra fișierelor scalpel recuperate arată că majoritatea fișierelor noastre au fost recuperate cu succes, deși au existat unele probleme (de exemplu, 00000012.jpg).

    Concluzie

    În exemplul nostru rapid de jucării, TestDisk a reușit să recupereze două partiții șterse, iar PhotoRec și Foremost au reușit să recupereze toate cele 20 de imagini șterse. Scalpelul a recuperat majoritatea fișierelor, dar este foarte probabil ca jocul cu opțiunile de linie de comandă pentru bisturiu să ne fi permis să recuperăm toate cele 20 de imagini.

    Aceste instrumente sunt lifesavers atunci când ceva nu merge cu hard diskul. Dacă datele dvs. se află pe unitatea hard disk undeva, atunci unul dintre aceste unelte o va urmări!

    Recuperați fișierele cu copiile umbrite în orice versiune de Windows Vista
    Recuperarea datelor pierdute din formular în Firefox
    Înregistrați-vă clipurile video ale Desktop-ului pe orice sistem de operare gratis
    Articolul următor
    Recuperarea fișierelor șterse pe un hard disk NTFS de pe un CD Ubuntu Live
    Articolul precedent
    Înregistrați sesiunile de linie de comandă cu Asciinema