Відновлення даних, як експерт з криміналістики Використання компакт-диска Ubuntu Live

Є багато утиліт для відновлення видалених файлів, але що, якщо ви не можете завантажити комп'ютер, або весь диск був відформатований? Ми покажемо вам деякі інструменти, які будуть копати глибоко і відновити найбільш невловимих видалених файлів, або навіть цілі розділи жорсткого диска.

Ми показали вам прості способи відновлення випадково видалених файлів, навіть простий метод, який можна зробити з компакт-диска Ubuntu Live, але для жорстких дисків, які були сильно пошкоджені, ці методи не збираються його скорочувати. У цій статті ми розглянемо чотири інструменти, які дозволяють відновити дані з найбільш поганих жорстких дисків, незалежно від того, чи вони були відформатовані для комп'ютерів Windows, Linux або Mac, або навіть якщо таблиця розділів повністю знищена.

Примітка. Ці інструменти не можуть відновити дані, перезаписані на жорсткому диску. Чи буде перезаписаний видалений файл, залежить від багатьох факторів - чим швидше ви усвідомлюєте, що хочете відновити файл, тим більша ймовірність того, що ви зможете це зробити.

Наші налаштування

Щоб показати ці інструменти, ми створили невеликий 1 Гб жорсткий диск, причому половина простору розділена як ext2, файлова система, що використовується в Linux, і половина простору розділена як FAT32, файлова система, що використовується в старих системах Windows. На кожному жорсткому диску збережено 10 випадкових знімків.

Потім ми витерли таблицю розділів з жорсткого диска, видаливши розділи у GParted.

Наші дані втрачені назавжди?

Встановлення інструментів

Всі інструменти, які ми збираємося використовувати, знаходяться в Ubuntu Всесвіт сховище.

Щоб увімкнути сховище, відкрийте Synaptic Package Manager, натиснувши на кнопку System у верхньому лівому кутку, а потім - Administration> Synaptic Package Manager.

Натисніть "Налаштування"> "Репозиторії" та додайте чек у вікні "Відкрите програмне забезпечення з відкритим кодом, що підтримується спільнотою (всесвіт)".

Натисніть кнопку Закрити, а потім у головному вікні Synaptic Package Manager натисніть кнопку Перезавантажити. Після перезавантаження списку пакунків і відновлення пошукового індексу шукайте та позначайте для встановлення один або всі з наступних пакетів: testdisk, перш за все, і скальпель.

Testdisk включає в себе TestDisk, який може відновити втрачені розділи і відновити завантажувальні сектори, а також PhotoRec, який може відновити різні типи файлів з тонн різних файлових систем.

Перш за все, спочатку розроблений Управлінням спеціальних розслідувань ВПС США, відновлює файли на основі їх заголовків та інших внутрішніх структур. Перш за все працює на жорстких дисках або приводять файли зображень, генеровані різними інструментами.

Нарешті, скальпель виконує ті самі функції, що й перш за все, але орієнтована на покращену продуктивність і зниження використання пам'яті. Скальпель може працювати краще, якщо у вас старша машина з меншою кількістю оперативної пам'яті.

Відновлення розділів жорсткого диска

Якщо ви не можете встановити жорсткий диск, то його таблиця розділів може бути пошкоджена. Перед початком спроби відновити важливі файли можна відновити один або кілька розділів на диску, відновивши всі файли за один крок.

Testdisk є інструментом для роботи. Запустіть його, відкривши термінал (Програми> Аксесуари> Термінал) і ввівши:

sudo testdisk

Якщо потрібно, можна створити файл журналу, хоча він не впливатиме на кількість відновлених даних. Після того, як ви зробите свій вибір, ви зустрінетеся зі списком носіїв даних на вашому комп'ютері. Ви повинні бути в змозі визначити жорсткий диск, який ви хочете відновити розділи за розміром і міткою.

TestDisk запитує, чи потрібно вибрати тип таблиці розділів для пошуку. У більшості випадків (ext2 / 3, NTFS, FAT32 тощо) слід вибрати Intel і натиснути Enter.

Виділіть Аналізувати і натисніть клавішу enter.

У нашому випадку наш маленький жорсткий диск раніше був відформатований як NTFS. Дивно, але TestDisk знаходить цей розділ, хоча він не може його відновити.

Він також знаходить два розділи, які ми просто видалили. Ми можемо змінити їх атрибути або додати більше розділів, але ми просто відновимо їх, натиснувши Enter.

Якщо TestDisk не знайшов усіх ваших розділів, можна спробувати зробити більш глибокий пошук, вибравши цю опцію за допомогою клавіш зі стрілками вліво і вправо. У нас було лише два розділи, тому їх буде відновлено, вибравши пункт "Написати" і натиснувши клавішу Enter.

Testdisk повідомляє, що нам доведеться перезавантажити комп'ютер.

Примітка: якщо ваш компакт-диск Ubuntu Live не є стійким, тоді, коли ви перезавантажуєтеся, вам доведеться перевстановити будь-які інструменти, встановлені раніше.

Після перезапуску обидва наші розділи повертаються до початкових станів, малюнків і всього іншого.

Відновлення файлів певних типів

Для наступних прикладів ми видалили 10 зображень з обох розділів і потім переформатували їх.

PhotoRec

З трьох інструментів ми покажемо, PhotoRec є найбільш зручним для користувача, незважаючи на те, що це консольна утиліта. Щоб почати відновлення файлів, відкрийте термінал (Програми> Аксесуари> Термінал) і введіть:

sudo photorec

Щоб почати, вас попросять вибрати пристрій зберігання для пошуку. Ви повинні бути в змозі ідентифікувати правильний пристрій за його розміром і міткою. Виберіть потрібний пристрій і натисніть Enter.

PhotoRec попросить вас вибрати тип розділу для пошуку. У більшості випадків (ext2 / 3, NTFS, FAT тощо) слід вибрати Intel і натиснути Enter.

Вам буде надано список розділів на вибраному жорсткому диску. Якщо ви хочете відновити всі файли в розділі, виберіть Пошук і натисніть Enter.

Однак цей процес може бути дуже повільним, і в нашому випадку ми хочемо лише шукати файли зображень, тому замість цього використовуємо клавішу зі стрілкою вправо, щоб вибрати опцію File, і натиснути Enter.

PhotoRec може відновити багато різних типів файлів, а вибір кожного з них займе багато часу. Замість цього ми натискаємо клавішу "s", щоб очистити всі вибрані елементи, а потім знайти відповідні типи файлів - jpg, gif і png - і вибрати їх, натиснувши клавішу зі стрілкою вправо.

Після вибору цих трьох пунктів ми натискаємо кнопку "b", щоб зберегти ці виділення.

Натисніть клавішу enter, щоб повернутися до списку розділів жорсткого диска. Ми хочемо шукати обидва розділи, тому виділимо “No partition” та “Search”, а потім натисніть Enter.

PhotoRec запитує розташування для збереження відновлених файлів. Якщо у вас є інший здоровий жорсткий диск, то ми рекомендуємо зберігати відновлені файли там. Оскільки ми не відновимося дуже багато, ми збережемо його на робочому столі Ubuntu Live CD.

Примітка. Не відновлюйте файли на жорсткому диску, з якого ви відновлюєтеся.

PhotoRec може відновити 20 зображень з розділів на нашому жорсткому диску!

Швидкий вигляд у каталозі recup_dir.1, який він створює, підтверджує, що PhotoRec відновив усі наші зображення, за винятком імен файлів.

Перш за все

Перш за все, це програма командного рядка, яка не має інтерактивного інтерфейсу, наприклад PhotoRec, але пропонує ряд параметрів командного рядка, щоб отримати якомога більше даних з вашого приводу..

Повний список опцій, які можна налаштувати за допомогою командного рядка, відкрийте термінал (Програми> Аксесуари> Термінал) і введіть:

передусім -h

У нашому випадку параметри командного рядка, які ми збираємося використовувати, це:

• -t, розділений комами список типів файлів для пошуку. У нашому випадку це "jpeg, png, gif".
• -v, що дає змогу отримати докладнішу інформацію про те, що робить головне.
• -o, вихідна папка для зберігання відновлених файлів. У нашому випадку ми створили на робочому столі директорію під назвою “foremost”.
• -i, вхід, який буде шукати файли. Це може бути образ диска в декількох різних форматах; однак ми будемо використовувати жорсткий диск / dev / sda.

Нашим найважливішим викликом є:

sudo foremost -t jpeg, png, gif -в першу чергу -v -i / dev / sda

Ваш виклик буде відрізнятися залежно від того, що ви шукаєте і де ви його шукаєте.

Перш за все здатний відновити 17 з 20 файлів, що зберігаються на жорсткому диску.

Дивлячись на файли, ми можемо підтвердити, що ці файли відновлено відносно добре, хоча ми бачимо деякі помилки в мініатюрі для 00622449.jpg.

Частиною цього може бути файлова система ext2. Перш за все рекомендує використовувати -d опцію командного рядка для файлових систем Linux, як ext2.

Ми знову працюватимемо знову, додавши опцію -d командного рядка до нашого виклику:

sudo foremost -t jpeg, png, gif -d -до всього -v -i / dev / sda

На цей раз, перш за все, можна відновити всі 20 зображень!

Останній погляд на фотографії показує, що фотографії були відновлені без проблем.

Скальпель

Скальпель - це ще одна потужна програма, яка, як і перш за все, налаштована. На відміну від Першочергового, Scalpel вимагає від вас змінити файл конфігурації, перш ніж спробувати відновити дані.

Будь-який текстовий редактор буде робити, але ми будемо використовувати gedit для зміни файлу конфігурації. У вікні терміналу (Програми> Аксесуари> Термінал) введіть:

sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf містить інформацію про ряд різних типів файлів. Прокручуйте цей файл і розшифруйте рядки, які починаються з типу файлу, який потрібно відновити (тобто видаліть символ "#" на початку цих рядків).

Збережіть файл і закрийте його. Поверніться до вікна терміналу.

Скальпель також має тонну параметрів командного рядка, які допомагають швидко та ефективно здійснювати пошук; однак, ми просто визначимо пристрій введення (/ dev / sda) і вихідну папку (папку, названу "скальпелем", яку ми створили на робочому столі).

Наш виклик:

скальпель sudo / dev / sda -o

Скальпель здатний відновити 18 з 20 наших файлів.

Швидкий перегляд файлів скальпеля, що відновилися, показує, що більшість наших файлів успішно відновлено, хоча були й деякі проблеми (наприклад, 00000012.jpg).

Висновок

У нашому прикладі швидких іграшок, TestDisk зміг відновити два видалені розділи, а PhotoRec і Foremost змогли відновити всі 20 видалених зображень. Скальпель відновив більшість файлів, але дуже ймовірно, що гра з параметрами командного рядка для скальпеля дозволила б відновити всі 20 зображень..

Ці інструменти є рятувальниками, коли щось піде не так з вашим жорстким диском. Якщо ваші дані десь на жорсткому диску, один з цих інструментів відстежуватиме його!