Obnovte údaje ako odborník na forenznú pomocou disku CD Ubuntu Live

2024 Autor: Geoffrey Carr | [email protected]. Naposledy zmenené: 2023-12-17 10:59

Existuje veľa nástrojov na obnovu zmazaných súborov, ale čo keď nemôžete spustiť počítač alebo celý disk bol naformátovaný? Ukážeme vám niektoré nástroje, ktoré budú kopať hlboko a obnoviť najpútavejšie zmazané súbory, alebo dokonca celú oblasť pevného disku.

Ukázali sme vám jednoduché spôsoby, ako obnoviť neúmyselne odstránené súbory, a to aj jednoduchú metódu, ktorú je možné vykonať z disku CD Ubuntu Live, ale pre pevné disky, ktoré boli značne poškodené, tieto metódy to nehodia. V tomto článku preskúmame štyri nástroje, ktoré dokážu obnoviť dáta z najznečistenejších pevných diskov bez ohľadu na to, či boli naformátované pre počítače s operačným systémom Windows, Linux alebo Mac, alebo dokonca aj vtedy, ak je tabuľka oddielov úplne vymazaná.

Poznámka: Tieto nástroje nemôžu obnoviť dáta, ktoré boli na pevnom disku prepísané. Či už bol vymazaný súbor prepísaný, závisí od mnohých faktorov - čím rýchlejšie si uvedomíte, že chcete súbor obnoviť, tým skôr budete môcť urobiť.

Naše nastavenie

Na zobrazenie týchto nástrojov sme nastavili malý pevný disk s kapacitou 1 GB, pričom polovica priestoru by bola rozdelená na ext2, súborový systém používaný v systéme Linux a polovica priestoru rozdelená ako systém súborov FAT32, ktorý sa používa v starších systémoch Windows. Na každom pevnom disku sme uložili desať náhodných obrázkov.

Potom sme stiahli tabuľku oddielov z pevného disku odstránením oddielov v GParted.

Inštalácia nástrojov

Všetky nástroje, ktoré budeme používať, sú v systéme Ubuntu vesmír úložiska.

Ak chcete povoliť repozitár, otvorte Synaptic Package Manager kliknutím na System v ľavom hornom rohu a potom na Administration> Synaptic Package Manager.

Kliknite na položku Nastavenia> Úložiská a pridajte začiarknutie do poľa s názvom "Softvér s otvoreným zdrojovým kódom (vesmír) spravovaný Spoločenstvom".

Kliknite na tlačidlo Zavrieť a potom v hlavnom okne aplikácie Synaptic Package Manager kliknite na tlačidlo Obnoviť. Po opätovnom načítaní zoznamu balíkov a reštrukturalizácii indexu vyhľadávania vyhľadajte a označte pre inštaláciu jeden alebo všetky nasledujúce balíky: TestDisk, najprednejšou, a skalpel.

TestDisk obsahuje nástroj TestDisk, ktorý dokáže obnoviť stratené oddiely a opraviť spúšťacie sektory a PhotoRec, ktorý dokáže obnoviť mnoho rôznych typov súborov z ton rôznych súborových systémov.

najprednejšou, pôvodne vyvinutý Úradom špeciálnych vyšetrovaní amerického letectva, obnovuje súbory založené na hlavičkách a iných vnútorných štruktúrach. Najdôležitejšie funguje na pevných diskoch alebo diskových obrazových súboroch generovaných rôznymi nástrojmi.

A konečne, skalpel vykonáva rovnaké funkcie ako predovšetkým, ale je zameraný na zvýšenie výkonu a zníženie využitia pamäte. Skalpel môže bežať lepšie, ak máte starší stroj s menšou pamäťou RAM.

Obnovte oddiely pevného disku

Ak nemôžete pripojiť pevný disk, môže sa poškodiť jeho tabuľka oddielov. Skôr než začnete pokúšať sa obnoviť dôležité súbory, môže byť možné obnoviť jeden alebo viac oddielov na jednotke a obnoviť všetky súbory jedným krokom.

TestDisk je nástroj pre prácu. Začnite otvorením terminálu (Aplikácie> Príslušenstvo> Terminál) a zadaním:


sudo testdisk

Ak chcete, môžete vytvoriť súbor denníka, aj keď to nebude mať vplyv na to, koľko údajov obnovíte. Akonáhle sa rozhodnete, uvítame zoznam pamäťových médií na vašom počítači. Mali by ste byť schopní identifikovať pevný disk, ktorý chcete obnoviť oddielov podľa jeho veľkosti a štítku.

TestDisk žiada, aby ste si vybrali typ tabuľky oddielov, ktoré chcete vyhľadať. Vo väčšine prípadov (ext2 / 3, NTFS, FAT32 atď.) By ste mali vybrať Intel a stlačte kláves Enter.

Zvýraznite Analýza a stlačte kláves enter.

V našom prípade malý pevný disk bol predtým naformátovaný ako NTFS. Úžasne, TestDisk nájde túto oblasť, hoci ju nedokáže obnoviť.

Nájdeme tiež dve oblasti, ktoré sme práve odstránili. Sme schopní zmeniť ich atribúty alebo pridať ďalšie oddiely, ale jednoducho ich obnovíme stlačením klávesu Enter.

Ak nástroj TestDisk nenašiel všetky vaše oddiely, môžete sa pokúsiť vykonať hlbšie vyhľadávanie výberom tejto možnosti pomocou ľavých a pravých šípok. Mali sme len tieto dve oddiely, takže ich obnovíme výberom položky Napísať a stlačením klávesu Enter.

Testdisk nás informuje, že budeme musieť reštartovať.

Poznámka: Ak vaše CD Ubuntu Live nie je trvalé, pri reštarte budete musieť preinštalovať všetky nástroje, ktoré ste predtým nainštalovali.

Po opätovnom spustení sa oba naše oddiely vrátia späť k pôvodným stavom, obrázkom a všetkým.

Obnovte súbory určitých typov

V nasledujúcich príkladoch sme odstránili 10 obrázkov z obidvoch oddielov a potom ich preformátovali.

PhotoRec

Z troch nástrojov, ktoré ukážeme, PhotoRec je najprijateľnejší pre používateľov, napriek tomu, že je to nástroj založený na konzolách. Ak chcete spustiť obnovu súborov, otvorte terminál (Aplikácie> Príslušenstvo> Terminál) a napíšte:


sudo photorec

Ak chcete začať, budete vyzvaní, aby ste vybrali úložné zariadenie na vyhľadávanie. Mali by ste byť schopní identifikovať správne zariadenie podľa jeho veľkosti a štítku. Vyberte správne zariadenie a potom stlačte kláves Enter.

PhotoRec vás požiada, aby ste vybrali typ oddielu na vyhľadávanie. Vo väčšine prípadov (ext2 / 3, NTFS, FAT atď.) By ste mali vybrať Intel a stlačiť kláves Enter.

Dostanete zoznam oddielov na vybratom pevnom disku.Ak chcete obnoviť všetky súbory v oddieli, vyberte položku Hľadať a stlačte kláves enter.

Tento proces však môže byť veľmi pomalý a v našom prípade chceme len vyhľadávať obrazové súbory, takže namiesto toho používame pravú šípku na výber File Opt a stlačte Enter.

PhotoRec môže obnoviť mnoho rôznych typov súborov a zrušenie výberu jednotlivých súborov bude trvať dlhú dobu. Namiesto toho stlačíme tlačidlo "s", aby ste vymazali všetky výbery a potom vyhľadali príslušné typy súborov - jpg, gif a png - a vyberte ich stlačením klávesu so šípkou vpravo.

Akonáhle sme si vybrali tieto tri, stlačíme "b" pre uloženie týchto výberov.

Stlačením klávesu enter sa vrátite na zoznam oddielov pevného disku. Chceme vyhľadávať obidva naše oddiely, takže vyzdvihneme "Žiadny oddiel" a "Hľadať" a potom stlačte kláves Enter.

PhotoRec vyzve na umiestnenie uložených súborov. Ak máte iný zdravý pevný disk, odporúčame tam uložiť obnovené súbory. Keďže sa veľmi nezotavujeme, uložíme ho na pracovnú plochu disku CD Ubuntu Live.

Poznámka: Nezdravujte súbory na pevný disk, z ktorého sa zotavujete.

FotoRec je schopný obnoviť 20 obrázkov z oddielov na našom pevnom disku!

Rýchly pohľad na adresár recup_dir.1, ktorý vytvorí, potvrdzuje, že PhotoRec obnovil všetky naše obrázky, okrem názvov súborov.

najprednejšou

Najdôležitejším je program príkazového riadku bez interaktívneho rozhrania, ako je PhotoRec, ale ponúka niekoľko možností príkazového riadku, ktoré umožňujú získať čo najviac dát z vášho disku.

Úplný zoznam možností, ktoré je možné upraviť pomocou príkazového riadka, otvorte terminál (Aplikácie> Príslušenstvo> Terminál) a napíšte:


foremost –h

V našom prípade sú možnosti príkazového riadku, ktoré budeme používať:

-t, zoznam typov súborov, ktoré chcete vyhľadať. V našom prípade je to "jpeg, png, gif".
-v, umožňujúce verbose-mode, čo nám poskytuje viac informácií o tom, čo robí hlavne.
-o, výstupný priečinok na ukladanie obnovených súborov. V našom prípade sme na pracovnej ploche vytvorili adresár s názvom "foremost".
-i, vstup, ktorý bude vyhľadávaný pre súbory. Môže to byť obraz disku v niekoľkých rôznych formátoch; použijeme však pevný disk, / dev / sda.

Našou hlavnou výzvou je:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Vaše vyvolanie sa bude líšiť v závislosti od toho, čo hľadáte a odkiaľ ho hľadáte.

Najprv je schopný obnoviť 17 z 20 súborov uložených na pevnom disku.

Keď sa pozrieme na súbory, môžeme potvrdiť, že tieto súbory boli pomerne dobre obnovené, aj keď v miniatúre 00622449.jpg môžeme vidieť nejaké chyby.

Časť toho môže byť spôsobená súborovým systémom ext2. V prvom rade odporúča použiť príkaz -d príkazového riadku pre systémy súborov Linux ako je ext2.

Znova budeme pokračovať, pridáme príkaz -d príkazu do našej najväčšej výzvou:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Tentokrát je predovšetkým schopný obnoviť všetkých 20 obrázkov!

Posledný pohľad na obrázky odhaľuje, že obrázky boli obnovené bez problémov.

skalpel

Skalpel je ďalší výkonný program, ktorý je podobne ako Foremost silne konfigurovateľný. Na rozdiel od Foremost, Skalpel vyžaduje úpravu konfiguračného súboru predtým, ako sa pokúsite o obnovu dát.

Akýkoľvek textový editor urobí, ale použijeme gedit na zmenu konfiguračného súboru. V terminálovom okne (Aplikácie> Príslušenstvo> Terminál) zadajte:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf obsahuje informácie o množstve rôznych typov súborov. Prejdite cez tento súbor a odčlente riadky, ktoré začínajú typom súboru, ktorý chcete obnoviť (to znamená, odstráňte znak "#" na začiatku týchto riadkov).

Uložte súbor a zatvorte ho. Vráťte sa do okna terminálu.

Scalpel má tiež tonu možností príkazového riadku, ktoré vám pomôžu rýchlo a efektívne vyhľadávať; ale len definujeme vstupné zariadenie (/ dev / sda) a výstupný priečinok (priečinok s názvom "skalpel", ktorý sme vytvorili na pracovnej ploche).

Naše vyvolanie je:


sudo scalpel /dev/sda –o scalpel

Skalpel je schopný obnoviť 18 našich 20 súborov.

Rýchly pohľad na späť získaný skalpel odhalí, že väčšina našich súborov bola úspešne obnovená, aj keď sa vyskytli nejaké problémy (napríklad 00000012.jpg).

záver

V našom rýchlom príklade hračky TestDisk dokázal obnoviť dva odstránené oddiely a PhotoRec a Foremost dokázali obnoviť všetky 20 vymazaných obrázkov. Skalpel získal väčšinu súborov, ale je veľmi pravdepodobné, že hranie s možnosťami skenperu v príkazovom riadku by nám umožnilo obnoviť všetkých 20 obrázkov.

Tieto nástroje sú lifesavers, keď sa niečo pokazí s pevným diskom. Ak sú vaše dáta niekde na pevnom disku, potom bude jeden z týchto nástrojov sledovať!