Домашняя » как » Восстановите данные как эксперт-криминалист с помощью Ubuntu Live CD

    Восстановите данные как эксперт-криминалист с помощью Ubuntu Live CD

    Существует множество утилит для восстановления удаленных файлов, но что, если вы не можете загрузить компьютер или весь диск отформатирован? Мы покажем вам некоторые инструменты, которые будут копать глубже и восстанавливать самые неуловимые удаленные файлы или даже целые разделы жесткого диска.

    Мы показали вам простые способы восстановления случайно удаленных файлов, даже простой метод, который можно сделать с Ubuntu Live CD, но для жестких дисков, которые были сильно повреждены, эти методы не собираются его сокращать. В этой статье мы рассмотрим четыре инструмента, которые могут восстанавливать данные с самых испорченных жестких дисков, независимо от того, были ли они отформатированы для компьютера с Windows, Linux или Mac, или даже если таблица разделов полностью стерта с лица земли..

    Примечание. Эти инструменты не могут восстановить данные, которые были перезаписаны на жестком диске. Была ли удаленный файл перезаписан, зависит от многих факторов: чем быстрее вы поймете, что хотите восстановить файл, тем больше вероятность, что вы сможете это сделать..

    Наша установка

    Чтобы показать эти инструменты, мы создали небольшой жесткий диск объемом 1 ГБ, половина пространства которого была разделена как ext2, файловая система используется в Linux, а половина пространства была разделена как FAT32, файловая система, используемая в старых системах Windows. Мы сохранили десять случайных картинок на каждом жестком диске.

    Затем мы стерли таблицу разделов с жесткого диска, удалив разделы в GParted.

    Наши данные потеряны навсегда?

    Установка инструментов

    Все инструменты, которые мы собираемся использовать, находятся в Ubuntu вселенная хранилище.

    Чтобы включить репозиторий, откройте Synaptic Package Manager, нажав «Система» в верхнем левом углу, затем «Администрирование»> «Synaptic Package Manager»..

    Нажмите «Настройки»> «Хранилища» и установите флажок «Сообщество с открытым исходным кодом (юниверс)»..

    Нажмите Закрыть, а затем в главном окне диспетчера пакетов Synaptic нажмите кнопку Перезагрузить. После перезагрузки списка пакетов и перестроения поискового индекса найдите и пометьте для установки один или все из следующих пакетов: TestDisk, самый главный, а также скальпель.

    Testdisk включает в себя TestDisk, который может восстанавливать потерянные разделы и восстанавливать загрузочные секторы, и PhotoRec, который может восстанавливать много разных типов файлов из множества файловых систем..

    Самый главный, Первоначально разработанный Управлением специальных расследований ВВС США, восстанавливает файлы на основе их заголовков и других внутренних структур. Foremost работает с жесткими дисками или файлами образов дисков, созданными различными инструментами.

    в заключение, скальпель выполняет те же функции, что и прежде всего, но ориентирован на повышение производительности и снижение использования памяти. Скальпель может работать лучше, если у вас старая машина с меньшим объемом оперативной памяти.

    Восстановите разделы жесткого диска

    Если вы не можете подключить жесткий диск, возможно, его таблица разделов повреждена. Прежде чем вы начнете пытаться восстановить ваши важные файлы, может быть возможно восстановить один или несколько разделов на вашем диске, восстанавливая все ваши файлы за один шаг.

    Testdisk это инструмент для работы. Запустите его, открыв терминал (Приложения> Принадлежности> Терминал) и введя:

    sudo testdisk

    Если вы хотите, вы можете создать файл журнала, хотя это не повлияет на объем данных, которые вы восстанавливаете. Как только вы сделаете свой выбор, вы получите список носителей на вашем компьютере. Вы должны быть в состоянии определить жесткий диск, с которого вы хотите восстановить разделы, по его размеру и метке.

    TestDisk попросит вас выбрать тип таблицы разделов для поиска. В большинстве случаев (ext2 / 3, NTFS, FAT32 и т. Д.) Вы должны выбрать Intel и нажать Enter.

    Выделите Анализировать и нажмите Enter.

    В нашем случае наш маленький жесткий диск ранее был отформатирован как NTFS. Удивительно, но TestDisk находит этот раздел, но не может его восстановить.

    Он также находит два раздела, которые мы только что удалили. Мы можем изменить их атрибуты или добавить больше разделов, но мы просто восстановим их, нажав Enter.

    Если TestDisk не нашел все ваши разделы, вы можете попробовать выполнить более глубокий поиск, выбрав эту опцию с помощью клавиш со стрелками влево и вправо. У нас были только эти два раздела, поэтому мы восстановим их, выбрав Write и нажав Enter.

    Testdisk сообщает нам, что нам придется перезагрузиться.

    Примечание: если ваш Ubuntu Live CD не является постоянным, то при перезагрузке вам придется переустановить все инструменты, которые вы установили ранее.

    После перезапуска оба наших раздела вернулись в исходное состояние, изображения и все.

    Восстановить файлы определенных типов

    Для следующих примеров мы удалили 10 изображений из обоих разделов, а затем переформатировали их.

    PhotoRec

    Из трех инструментов мы покажем, PhotoRec является наиболее удобным для пользователя, несмотря на то, что это консольная утилита. Чтобы начать восстановление файлов, откройте терминал (Приложения> Стандартные> Терминал) и введите:

    sudo photorec

    Для начала вас попросят выбрать устройство хранения для поиска. Вы должны быть в состоянии определить правильное устройство по его размеру и этикетке. Выберите правильное устройство и нажмите Enter.

    PhotoRec попросит вас выбрать тип раздела для поиска. В большинстве случаев (ext2 / 3, NTFS, FAT и т. Д.) Вы должны выбрать Intel и нажать Enter.

    Вам предоставляется список разделов на выбранном вами жестком диске. Если вы хотите восстановить все файлы в разделе, выберите «Поиск» и нажмите «Ввод»..

    Тем не менее, этот процесс может быть очень медленным, и в нашем случае мы хотим искать только файлы изображений, поэтому вместо этого мы используем клавишу со стрелкой вправо, чтобы выбрать File Opt и нажмите Enter.

    PhotoRec может восстановить много разных типов файлов, и отмена выбора каждого из них займет много времени. Вместо этого мы нажимаем «s», чтобы очистить все выделенные области, а затем находим подходящие типы файлов - jpg, gif и png - и выбираем их, нажимая клавишу со стрелкой вправо..

    После того как мы выбрали эти три, мы нажимаем «b», чтобы сохранить эти выборы.

    Нажмите Enter, чтобы вернуться к списку разделов жесткого диска. Мы хотим выполнить поиск в обоих наших разделах, поэтому мы выделяем «Нет раздела» и «Поиск», а затем нажимаем Enter.

    PhotoRec запрашивает место для хранения восстановленных файлов. Если у вас другой здоровый жесткий диск, мы рекомендуем хранить восстановленные файлы там. Так как мы не сильно поправляемся, мы сохраним его на рабочем столе Ubuntu Live CD.

    Примечание. Не восстанавливайте файлы на жесткий диск, с которого вы восстанавливаете.

    PhotoRec может восстановить 20 изображений с разделов на нашем жестком диске!

    Быстрый просмотр в каталоге recup_dir.1, который он создает, подтверждает, что PhotoRec восстановил все наши изображения, за исключением имен файлов.

    Самый главный

    Foremost - это программа командной строки без интерактивного интерфейса, как PhotoRec, но предлагает ряд параметров командной строки для получения как можно большего объема данных с вашего накопителя..

    Для получения полного списка параметров, которые можно настроить с помощью командной строки, откройте терминал (Приложения> Аксессуары> Терминал) и введите:

    прежде всего -h

    В нашем случае параметры командной строки, которые мы собираемся использовать:

    • -t, разделенный запятыми список типов файлов для поиска. В нашем случае это «jpeg, png, gif».
    • -v, включив подробный режим, давая нам больше информации о том, что делает главный.
    • -o, выходная папка для хранения восстановленных файлов. В нашем случае мы создали каталог с именем «foremost» на рабочем столе.
    • -я, вход, который будет искать файлы. Это может быть образ диска в нескольких разных форматах; тем не менее, мы будем использовать жесткий диск, / dev / sda.

    Наш главный призыв:

    sudo прежде всего -t jpeg, png, gif -o прежде всего -v -i / dev / sda

    Ваш вызов будет отличаться в зависимости от того, что вы ищете и где вы ищете его.

    Foremost может восстановить 17 из 20 файлов, хранящихся на жестком диске.

    Глядя на файлы, мы можем подтвердить, что эти файлы были восстановлены относительно хорошо, хотя мы можем видеть некоторые ошибки в миниатюре для 00622449.jpg.

    Частично это может быть связано с файловой системой ext2. Foremost рекомендует использовать параметр командной строки -d для файловых систем Linux, таких как ext2.

    Мы снова запустим, добавив параметр командной строки -d к нашему первому вызову:

    sudo foremost -t jpeg, png, gif -d -o передний -v -i / dev / sda

    На этот раз, прежде всего, можно восстановить все 20 изображений!

    Окончательный взгляд на фотографии показывает, что фотографии были восстановлены без проблем..

    Скальпель

    Scalpel - еще одна мощная программа, которая, как и Foremost, легко настраивается. В отличие от Foremost, Scalpel требует, чтобы вы отредактировали файл конфигурации перед попыткой восстановления данных..

    Подойдет любой текстовый редактор, но мы будем использовать gedit для изменения файла конфигурации. В окне терминала (Приложения> Принадлежности> Терминал) введите:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf содержит информацию о ряде типов файлов. Прокрутите этот файл и раскомментируйте строки, которые начинаются с типа файла, который вы хотите восстановить (т.е. удалите символ «#» в начале этих строк).

    Сохраните файл и закройте его. Вернуться в окно терминала.

    Scalpel также имеет множество опций командной строки, которые могут помочь вам быстро и эффективно выполнять поиск; тем не менее, мы просто определим устройство ввода (/ dev / sda) и папку вывода (папку с именем «скальпель», которую мы создали на рабочем столе).

    Наш вызов:

    скальпель sudo / dev / sda -o скальпель

    Скальпель может восстановить 18 из 20 наших файлов.

    Быстрый просмотр файлов, найденных скальпелем, показывает, что большинство наших файлов были успешно восстановлены, хотя были некоторые проблемы (например, 00000012.jpg).

    Заключение

    В нашем быстром игрушечном примере TestDisk смог восстановить два удаленных раздела, а PhotoRec и Foremost смогли восстановить все 20 удаленных изображений. Scalpel восстановил большинство файлов, но очень вероятно, что игра с параметрами командной строки для скальпеля позволила бы нам восстановить все 20 изображений.

    Эти инструменты спасают вас, когда что-то не так с вашим жестким диском. Если ваши данные находятся на жестком диске, то один из этих инструментов будет их отслеживать!

    Восстановление файлов с помощью теневых копий в любой версии Windows Vista
    Восстановить потерянные данные формы в Firefox
    Записывайте видео с вашего рабочего стола на любую ОС бесплатно
    Следующая статья
    Восстановите удаленные файлы на жестком диске NTFS с Ubuntu Live CD
    Предыдущая статья
    Запишите ваши сеансы командной строки с Asciinema