Obnovte data jako odborník na forenzní pomocí disku CD Ubuntu Live

Existuje spousta nástrojů pro obnovu smazaných souborů, ale co když nemůžete spustit počítač nebo celý disk byl naformátován? Ukážeme vám některé nástroje, které budou kopat hluboké a obnovit nejpoužívanější odstraněné soubory, nebo dokonce celé oddíly pevného disku.

Ukázali jsme vám jednoduché způsoby, jak obnovit náhodně smazané soubory, a to i jednoduchou metodu, kterou lze provést z disku CD Ubuntu Live, ale u harddisků, které byly silně poškozené, tyto metody nehodnotí. V tomto článku budeme zkoumat čtyři nástroje, které mohou obnovit data z nejslabších pevných disků, bez ohledu na to, zda byly naformátovány pro počítače se systémem Windows, Linux nebo Mac, nebo dokonce i tehdy, pokud je tabulka oddílů zcela vymazána.

Poznámka: Tyto nástroje nemohou obnovit data, která byla přepsána na pevný disk. Zda je vymazaný soubor přepsán, závisí na mnoha faktorech - čím rychleji si uvědomíte, že chcete soubor obnovit, tím pravděpodobněji budete moci.

Naše nastavení

Chcete-li zobrazit tyto nástroje, nastavili jsme malý pevný disk o velikosti 1 GB, přičemž polovina prostoru byla rozdělena na ext2, souborový systém používaný v Linuxu a polovina prostoru byla rozdělena na systém souborů FAT32, používaný ve starších systémech Windows. Do každého pevného disku jsme uložili deset náhodných snímků.

Stranu tabulky rozdělili z pevného disku odstraněním oddílů ve složce GParted.

Jsou naše data navždy ztracena?

Instalace nástrojů

Všechny nástroje, které budeme používat, jsou v Ubuntu vesmír úložiště.

Chcete-li povolit repozitář, otevřete Správce balíčků Synaptic klepnutím na položku Systém v levém horním rohu, poté Správa> Správce balíčků Synaptic.

Klikněte na Nastavení> Úložiště a přidejte zaškrtnutí do pole s názvem "Software Open Source (vesmír) udržovaný v komunitě".

Klepněte na tlačítko Zavřít a potom v hlavním okně programu Synaptic Package Manager klepněte na tlačítko Znovu načíst. Po opětovném načtení seznamu balíčků a obnovení vyhledávacího indexu vyhledejte a označte pro instalaci jeden nebo všechny následující balíčky: testdisk, především, a skalpel.

Testdisk zahrnuje TestDisk, který může obnovit ztracené oddíly a opravit spouštěcí sektory a PhotoRec, který může obnovit mnoho různých typů souborů z tun různých systémů souborů.

Především, původně vyvinutý Úřadem pro speciální vyšetřování amerického letectva, obnovuje soubory založené na jejich záhlaví a dalších vnitřních strukturách. Nejdůležitější je práce s pevnými disky nebo soubory s obrázky vytvořenými různými nástroji.

Konečně, skalpel provádí stejné funkce jako přední, ale zaměřuje se na vyšší výkon a nižší využití paměti. Skalpel může běžet lépe, pokud máte starší stroj s menší pamětí RAM.

Obnovte oddíly pevného disku

Pokud nemůžete připojit pevný disk, může být jeho tabulka oddílů poškozena. Než začnete pokoušet o obnovení důležitých souborů, může být možné obnovit jeden nebo více diskových oddílů na jednotce a obnovit všechny vaše soubory jedním krokem.

Testdisk je nástroj pro práci. Spusťte ji otevřením terminálu (Aplikace> Příslušenství> Terminál) a zadáním:

sudo testdisk

Pokud chcete, můžete vytvořit soubor protokolu, ačkoli to nebude mít vliv na to, kolik dat obnovíte. Jakmile si vyberete, uvítáme seznam paměťových médií na vašem počítači. Měli byste být schopni identifikovat pevný disk, který chcete obnovit oddíly, podle velikosti a popisu.

TestDisk žádá, abyste zvolili typ tabulky oddílů, které chcete vyhledat. Ve většině případů (ext2 / 3, NTFS, FAT32 atd.) Byste měli vybrat Intel a stisknout Enter.

Zvýrazněte položku Analýza a stiskněte klávesu enter.

V našem případě byl náš malý pevný disk dříve formátován jako NTFS. Je překvapivé, že TestDisk najde tento oddíl, i když není schopen jej obnovit.

Také najde dva oddíly, které jsme právě odstranili. Jsme schopni změnit jejich atributy nebo přidat další diskové oddíly, ale pouze je obnovíme stisknutím klávesy Enter.

Pokud TestDisk nenalezl všechny vaše oddíly, můžete zkusit hlouběji vyhledávat výběrem této možnosti pomocí levého a pravého tlačítka se šipkami. Měli jsme pouze tyto dvě oddíly, takže je obnovíme výběrem položky Napsat a stisknutím klávesy Enter.

Testdisk nás informuje, že budeme muset restartovat.

Poznámka: Pokud vaše CD Ubuntu Live není trvalé, při restartu budete muset přeinstalovat všechny nástroje, které jste dříve nainstalovali.

Po restartování se obě naše oddíly vracejí zpět do původního stavu, obrázků a všech.

Obnovte soubory určitých typů

V následujících příkladech jsme odstranili 10 obrázků z obou oddílů a poté je přeformátovali.

PhotoRec

Ze tří nástrojů, které ukážeme, PhotoRec je nejvíce uživatelsky přívětivý, navzdory tomu, že je založen na konzolách. Chcete-li obnovit soubory, otevřete terminál (Aplikace> Příslušenství> Terminál) a zadejte:

sudo photorec

Chcete-li začít, budete vyzváni k výběru paměťového zařízení, které chcete vyhledat. Měli byste být schopni identifikovat správné zařízení podle jeho velikosti a štítku. Vyberte správné zařízení a potom stiskněte klávesu Enter.

PhotoRec vás požádá, abyste zvolili typ oddílů pro vyhledávání. Ve většině případů (ext2 / 3, NTFS, FAT atd.) Byste měli vybrat Intel a stisknout Enter.

Zobrazí se seznam oddílů na vybraném pevném disku. Pokud chcete obnovit všechny soubory na oddíl, vyberte Hledat a stiskněte klávesu enter.

Tento proces však může být velmi pomalý a v našem případě chceme pouze vyhledat soubory obrázků, takže namísto toho použijeme klávesu se šipkou vpravo pro volbu File Opt a stiskněte Enter.

PhotoRec dokáže obnovit mnoho různých typů souborů a zrušení výběru jednotlivých souborů bude trvat dlouho. Místo toho stiskem klávesy "s" vymažeme všechny výběry a pak najdeme příslušné typy souborů - jpg, gif a png - a vybereme je stiskem tlačítka se šipkou vpravo.

Jakmile tyto tři vybrali, stiskem tlačítka "b" uložte tyto výběry.

Stisknutím klávesy enter se vrátíte do seznamu oddílů pevného disku. Chceme prohledávat oba naše oddíly, takže zvýrazňujeme "Žádný oddíl" a "Vyhledat" a pak stiskněte klávesu Enter.

PhotoRec vyzve k uložení obnovených souborů. Pokud máte jiný zdravý pevný disk, doporučujeme ukládat tam uložené soubory. Protože se moc nezotavujeme, uložíme je na pracovní plochu Ubuntu Live CD.

Poznámka: Nezdravujte soubory na pevném disku, ze kterého se zotavujete.

PhotoRec je schopen obnovit 20 snímků z diskových oddílů na našem pevném disku!

Rychlý vzhled v adresáři recup_dir.1, který vytvoří, potvrzuje, že PhotoRec obnovil všechny naše obrázky a uložil jména souborů.

Především

Nejdůležitější je program příkazového řádku bez interaktivního rozhraní, jako je PhotoRec, ale nabízí řadu možností příkazového řádku, jak získat co nejvíce dat z vaší jednotky.

Úplný seznam možností, které lze vylepšit pomocí příkazového řádku, otevřete terminál (Aplikace> Příslušenství> Terminál) a zadejte:

nejdůležitější - h

V našem případě jsou možnosti příkazového řádku, které budeme používat:

• -t, seznam typů souborů, které chcete vyhledat, oddělené čárkami. V našem případě jde o "jpeg, png, gif".
• -v, umožňující podrobný režim, což nám poskytuje více informací o tom, co dělá v první řadě.
• -o, výstupní složku pro ukládání obnovených souborů. V našem případě jsme na ploše vytvořili adresář s názvem "foremost".
• -i, vstup, který bude prohledávat soubory. Může to být obraz disku v několika různých formátech; použijeme však pevný disk, / dev / sda.

Naše hlavní invokace je:

sudo nejdůležitější - jpeg, png, gif - nejdůležitější - v -i / dev / sda

Vaše volání se bude lišit v závislosti na tom, co hledáte a kde jej hledáte.

Přední je schopen obnovit 17 z 20 souborů uložených na pevném disku.

Když se podíváme na soubory, můžeme potvrdit, že tyto soubory byly obnoveny poměrně dobře, ačkoli můžeme vidět některé chyby v náhledu pro 00622449.jpg.

Část tohoto může být způsobena souborovým systémem ext2. Nejdříve doporučuje použít volbu příkazového řádku -d pro systém souborů Linux, jako je ext2.

Začneme znovu nejlépe, přidáme -d příkaz příkazového řádku k našemu nejpopulárnějšímu vyvolání:

sudo přední -t jpeg, png, gif -d -o nejdůležitější -v -i / dev / sda

Tentokrát je především schopen obnovit všech 20 snímků!

Závěrečný pohled na obrázky ukazuje, že obrázky byly obnoveny bez problémů.

Skalpel

Scalpel je další silný program, který je stejně jako předmosta velmi konfigurovatelný. Na rozdíl od Foremost, Skalpel vyžaduje, abyste před pokusem o jakoukoli obnovu dat upravili konfigurační soubor.

Bude proveden libovolný textový editor, ale použijeme gedit ke změně konfiguračního souboru. V okně terminálu (Aplikace> Příslušenství> Terminál) zadejte:

sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf obsahuje informace o řadě různých typů souborů. Projděte tento soubor a odkomentujte řádky, které začínají typem souboru, který chcete obnovit (tj. Odstraňte znak "#" na začátku těchto řádků).

Uložte soubor a zavřete jej. Vraťte se do okna terminálu.

Scalpel má také řadu možností příkazového řádku, které vám pomohou rychle a efektivně vyhledávat; ale pouze definujeme vstupní zařízení (/ dev / sda) a výstupní složku (složku nazvanou "skalpel", kterou jsme vytvořili na ploše).

Naše vyvolání je:

sudo skalpel / dev / sda - skalpel

Skalpel je schopen obnovit 18 našich 20 souborů.

Rychlý pohled na obnovený soubor skalpelu ukazuje, že většina našich souborů byla úspěšně obnovena, přestože došlo k některým problémům (např. 00000012.jpg).

Závěr

V našem rychlém příkladu hračky TestDisk dokázal obnovit dva smazané oddíly a PhotoRec a Foremost dokázali obnovit všechny 20 odstraněných snímků. Skalpel získal většinu souborů, ale je velmi pravděpodobné, že hraní s možnostmi příkazového řádku pro skalpel by nám umožnilo obnovit všech 20 snímků.

Tyto nástroje jsou lifesavers, když se něco pokazí s pevným diskem. Pokud jsou vaše data někde na pevném disku, pak je jeden z těchto nástrojů sleduje!