Obnovte údaje ako odborník na forenznú pomocou disku CD Ubuntu Live

Existuje veľa nástrojov na obnovenie zmazaných súborov, ale čo keď nemôžete spustiť počítač alebo celý disk bol naformátovaný? Ukážeme vám niektoré nástroje, ktoré budú kopať hlboko a obnoviť najprísnejšie zmazané súbory, alebo dokonca celú oblasť pevného disku.

Ukázali sme vám jednoduché spôsoby, ako obnoviť neúmyselne odstránené súbory, a to aj jednoduchú metódu, ktorú je možné vykonať z disku CD Ubuntu Live, ale pre pevné disky, ktoré boli veľmi poškodené, tieto metódy to nehodia. V tomto článku sa budeme zaoberať štyrmi nástrojmi, ktoré dokážu obnoviť dáta z najzloženejších pevných diskov bez ohľadu na to, či boli naformátované pre počítače s operačným systémom Windows, Linux alebo Mac, alebo dokonca aj vtedy, ak je tabuľka oddielov úplne vymazaná.

Poznámka: Tieto nástroje nemôžu obnoviť údaje, ktoré boli na pevnom disku prepísané. Či už bol vymazaný súbor prepísaný, závisí od mnohých faktorov - čím rýchlejšie si uvedomíte, že chcete súbor obnoviť, tým skôr to budete môcť urobiť.

Naše nastavenie

Na zobrazenie týchto nástrojov sme nastavili malý pevný disk s kapacitou 1 GB, pričom polovica priestoru je rozdelená na ext2, súborový systém používaný v systéme Linux a polovica priestoru rozdelená na systém súborov FAT32, ktorý sa používa v starších systémoch Windows. Na každom pevnom disku sme uložili desať náhodných obrázkov.

Potom sme stiahli tabuľku oddielov z pevného disku odstránením oddielov v GParted.

Sú naše údaje navždy stratené?

Inštalácia nástrojov

Všetky nástroje, ktoré budeme používať, sú v systéme Ubuntu vesmír sklad.

Ak chcete povoliť repozitár, otvorte Synaptic Package Manager kliknutím na System v ľavom hornom rohu a potom na Administration> Synaptic Package Manager.

Kliknite na položku Nastavenia> Úložiská a pridajte zaškrtnutie do poľa s názvom "Softvér s otvoreným zdrojovým kódom (vesmír) spravovaný komunitou".

Kliknite na tlačidlo Zavrieť a potom v hlavnom okne programu Synaptic Package Manager kliknite na tlačidlo Obnoviť. Po opätovnom načítaní zoznamu balíkov a reštrukturalizácii indexu vyhľadávania vyhľadajte a označte pre inštaláciu jeden alebo všetky nasledujúce balíky: TestDisk, najprednejšou, a skalpel.

TestDisk obsahuje nástroj TestDisk, ktorý dokáže obnoviť stratené oddiely a opraviť spúšťacie sektory a PhotoRec, ktorý dokáže obnoviť mnoho rôznych typov súborov z ton rôznych súborových systémov.

najprednejšou, pôvodne vyvinutý Úradom špeciálnych vyšetrovaní amerického letectva, obnovuje súbory založené na ich hlavách a iných vnútorných štruktúrach. Najdôležitejšie funguje na pevných diskoch alebo obrazových súboroch, ktoré sú generované rôznymi nástrojmi.

konečne, skalpel vykonáva rovnaké funkcie ako predovšetkým, ale je zameraný na zvýšenie výkonu a zníženie využitia pamäte. Skalpel môže fungovať lepšie, ak máte starší stroj s menšou pamäťou RAM.

Obnovte oddiely pevného disku

Ak nemôžete pripojiť pevný disk, môže sa poškodiť jeho tabuľka oddielov. Skôr ako začnete pokúšať sa obnoviť dôležité súbory, môže byť možné obnoviť jeden alebo viac oddielov na jednotke a obnoviť všetky súbory v jednom kroku.

TestDisk je nástroj pre prácu. Spustite ho otvorením terminálu (Aplikácie> Príslušenstvo> Terminál) a zadaním:

sudo testdisk

Ak chcete, môžete vytvoriť súbor denníka, hoci to nebude mať vplyv na to, koľko údajov obnovíte. Akonáhle sa rozhodnete, uvítame zoznam pamäťových médií na vašom počítači. Mali by ste byť schopní identifikovať pevný disk, ktorý chcete obnoviť oddiely podľa veľkosti a menovky.

TestDisk vás požiada o výber typu tabuľky oddielov, ktoré chcete vyhľadať. Vo väčšine prípadov (ext2 / 3, NTFS, FAT32 atď.) By ste mali vybrať Intel a stlačte Enter.

Zvýraznite položku Analýza a stlačte kláves enter.

V našom prípade malý pevný disk bol predtým naformátovaný ako NTFS. Úžasne, TestDisk nájde tento oddiel, aj keď to nie je možné obnoviť.

Nájdeme tiež dve oblasti, ktoré sme práve odstránili. Sme schopní zmeniť ich atribúty alebo pridať ďalšie oddiely, ale jednoducho ich obnovíme stlačením klávesu Enter.

Ak nástroj TestDisk nenašiel všetky vaše oddiely, skúste uskutočniť hlbšie vyhľadávanie výberom tejto voľby pomocou ľavého a pravého tlačidla so šípkami. Mali sme len tieto dva oddiely, takže ich obnovíme výberom položky Napísať a stlačením klávesu Enter.

Testdisk nás informuje, že budeme musieť reštartovať.

Poznámka: Ak vaše CD Ubuntu Live nie je trvalé, pri reštarte budete musieť preinštalovať všetky nástroje, ktoré ste inštalovali skôr.

Po reštartovaní sa obidva naše oddiely vrátia do pôvodného stavu, obrázkov a všetkých.

Obnovte súbory určitých typov

V nasledujúcich príkladoch sme odstránili 10 obrázkov z obidvoch oblastí a potom ich preformátovali.

PhotoRec

Z troch nástrojov, ktoré ukážeme, PhotoRec je najprijateľnejší pre používateľov, napriek tomu, že je nástrojom založeným na konzolách. Ak chcete spustiť obnovu súborov, otvorte terminál (Aplikácie> Príslušenstvo> Terminál) a napíšte:

sudo photorec

Ak chcete začať, budete vyzvaní, aby ste vybrali úložné zariadenie na vyhľadávanie. Mali by ste byť schopní identifikovať správne zariadenie podľa jeho veľkosti a štítku. Vyberte správne zariadenie a potom stlačte Enter.

PhotoRec žiada, aby ste si vybrali typ oddielu na vyhľadávanie. Vo väčšine prípadov (ext2 / 3, NTFS, FAT atď.) By ste mali vybrať Intel a stlačiť kláves Enter.

Dostanete zoznam oddielov na vybratom pevnom disku. Ak chcete obnoviť všetky súbory v oddieli, vyberte položku Hľadať a stlačte kláves enter.

Tento proces však môže byť veľmi pomalý a v našom prípade chceme iba vyhľadávať obrazové súbory, takže namiesto toho používame pravú šípku na výber File Opt a stlačte Enter.

PhotoRec dokáže obnoviť mnoho rôznych typov súborov a vynechanie každej z nich bude trvať dlho. Namiesto toho stlačíme tlačidlo "s", aby ste vymazali všetky výbery a potom vyhľadali príslušné typy súborov - jpg, gif a png - a vyberte ich stlačením klávesy so šípkou vpravo.

Akonáhle sme tieto tri vybrali, stlačíme tlačidlo "b" pre uloženie týchto výberov.

Stlačením klávesu enter sa vrátite do zoznamu oddielov pevného disku. Chceme vyhľadávať obidva oddiely, takže vyzdvihneme "Žiadny oddiel" a "Hľadať" a potom stlačte kláves Enter.

PhotoRec vyzve na umiestnenie uložených súborov. Ak máte iný zdravý pevný disk, odporúčame tam uložiť obnovené súbory. Nakoľko sa veľmi nezotavujeme, uložíme ho na pracovnú plochu disku CD Ubuntu Live.

Poznámka: Nezdravujte súbory na pevný disk, z ktorého sa zotavujete.

PhotoRec je schopný obnoviť 20 obrázkov z oddielov na našom pevnom disku!

Rýchly pohľad v adresári recup_dir.1, ktorý vytvorí, potvrdzuje, že PhotoRec obnovil všetky naše obrázky, okrem názvov súborov.

najprednejšou

Najdôležitejšie je program príkazového riadku bez interaktívneho rozhrania, ako je PhotoRec, ale ponúka niekoľko možností príkazového riadka, ktoré umožňujú získať čo najviac dát z vašej jednotky.

Úplný zoznam možností, ktoré môžete upraviť pomocou príkazového riadka, otvorte terminál (Aplikácie> Príslušenstvo> Terminál) a zadajte:

predovšetkým -h

V našom prípade príkazy, ktoré budeme používať, sú:

• -t, zoznam typov súborov, ktoré chcete vyhľadať. V našom prípade je to "jpeg, png, gif".
• -v, umožňujúce verbose-mode, čo nám poskytuje viac informácií o tom, čo robí predovšetkým.
• -o, výstupný priečinok na ukladanie obnovených súborov. V našom prípade sme na pracovnej ploche vytvorili adresár s názvom "foremost".
• -i, vstup, ktorý bude vyhľadávaný pre súbory. Môže to byť obraz disku v niekoľkých rôznych formátoch; použijeme však pevný disk, / dev / sda.

Našou hlavnou výzvou je:

sudo predovšetkým -t jpeg, png, gif - predovšetkým -v -i / dev / sda

Vaše vyvolanie sa bude líšiť v závislosti od toho, čo hľadáte a odkiaľ ho hľadáte.

Najprv je schopný obnoviť 17 z 20 súborov uložených na pevnom disku.

Keď sa pozrieme na súbory, môžeme potvrdiť, že tieto súbory boli obnovené relatívne dobre, aj keď môžeme vidieť niektoré chyby v miniatúre pre 00622449.jpg.

Časť toho môže byť spôsobená súborovým systémom ext2. Predovšetkým odporúča použiť príkaz -d príkazového riadku pre systémy súborov Linux ako ext2.

Znova budeme pokračovať, pridáme príkaz -d príkazu do našej najväčšej výzvou:

sudo predovšetkým -t jpeg, png, gif -d -o predovšetkým -v -i / dev / sda

Tentokrát je predovšetkým schopný obnoviť všetkých 20 obrázkov!

Záverečný pohľad na obrázky odhaľuje, že obrázky boli obnovené bez problémov.

skalpel

Skalpel je ďalší výkonný program, ktorý je podobne ako Foremost veľmi konfigurovateľný. Na rozdiel od Foremost, Scalpel vyžaduje úpravu konfiguračného súboru predtým, ako sa pokúsite o obnovu dát.

Akýkoľvek textový editor urobí, ale použijeme gedit na zmenu konfiguračného súboru. V terminálovom okne (Aplikácie> Príslušenstvo> Terminál) zadajte:

sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf obsahuje informácie o množstve rôznych typov súborov. Prejdite cez tento súbor a odčlente riadky, ktoré začínajú typom súboru, ktorý chcete obnoviť (to znamená odstrániť znak "#" na začiatku týchto riadkov).

Uložte súbor a zatvorte ho. Vráťte sa do okna terminálu.

Skalpel má tiež tónu možností príkazového riadku, ktoré vám pomôžu rýchlo a efektívne hľadať; ale len definujeme vstupné zariadenie (/ dev / sda) a výstupný priečinok (priečinok s názvom "skalpel", ktorý sme vytvorili na pracovnej ploche).

Naše vyvolanie je:

sudo skalpel / dev / sda-skalpel

Skalpel je schopný obnoviť 18 našich 20 súborov.

Rýchly pohľad na obnovený súbor skalpelu ukazuje, že väčšina našich súborov bola úspešne obnovená, aj keď sa vyskytli nejaké problémy (napríklad 00000012.jpg).

záver

V našom rýchlom príklade hračky TestDisk dokázal obnoviť dva odstránené oddiely a PhotoRec a Foremost dokázali obnoviť všetky 20 vymazaných obrázkov. Skalpel získal väčšinu súborov, ale je veľmi pravdepodobné, že hranie s možnosťami príkazového riadku pre skalpel by nám umožnilo obnoviť všetkých 20 obrázkov.

Tieto nástroje sú lifesavers, keď sa niečo pokazí s pevným diskom. Ak sú vaše dáta niekde na pevnom disku, potom bude jeden z týchto nástrojov sledovať!