Опоравак података као форензички стручњак помоћу Убунту Ливе ЦД-а

Постоји много услужних програма за обнављање избрисаних датотека, али шта ако не можете да покренете рачунар или је читава диск јединица форматирана? Показаћемо вам неке алате који ће дубоко ископати и опоравити већину неухватљивих избрисаних датотека, или чак цијеле партиције тврдог диска.

Показали смо вам једноставне начине за опоравак случајно избрисаних датотека, чак и једноставан метод који се може урадити са Убунту Ливе ЦД-а, али за тврде дискове који су јако корумпирани, те методе неће га исећи. У овом чланку ћемо испитати четири алата који могу опоравити податке са већине забрањених хард дискова, без обзира да ли су форматирани за Виндовс, Линук или Мац рачунар, или чак ако је табела партиција потпуно избрисана.

Напомена: Ови алати не могу опоравити податке који су преписани на чврстом диску. Да ли је избрисана датотека пребрисана зависи од многих фактора - што брже схватите да желите да опоравите датотеку, то је вероватније да ћете то моћи да урадите.

Наше подешавање

Да бисмо приказали ове алате, поставили смо мали хард диск од 1 ГБ, са половином простора подељеног као ект2, систем датотека који се користи у Линуку, а половина простора је подељена као ФАТ32, систем датотека који се користи у старијим Виндовс системима. Сачували смо десет случајних слика на сваки хард диск.

Затим смо обрисали табелу партиција са чврстог диска брисањем партиција у ГПартед.

Да ли су наши подаци заувек изгубљени?

Инсталирање алата

Сви алати које ћемо користити су у Убунту-у свемир спремиште.

Да бисте омогућили спремиште, отворите Синаптиц Пацкаге Манагер тако што ћете кликнути на Систем у горњем левом углу, а затим на Администратион> Синаптиц Пацкаге Манагер.

Кликните на Подешавања> Репозиторији и додајте чек у поље под називом "Опен Соурце софтвер (универзум) који се одржава у заједници".

Кликните на дугме Затвори, а затим у главном прозору Синаптиц Пацкаге Манагер кликните на дугме Поново учитај. Када се листа пакета поново учита, а индекс претраге поново изгради, потражите и означите за инсталацију један или све од следећих пакета: тестдиск, пре свега, и скалпел.

Тестдиск укључује ТестДиск, који може обновити изгубљене партиције и поправити боот секторе, и ПхотоРец, који може опоравити много различитих типова датотека из тона различитих датотечних система.

Прво, првобитно развијен од стране Канцеларије за специјалне истраге америчког ваздухопловства, опоравља датотеке на основу њихових заглавља и других унутрашњих структура. Највише ради на чврстим дисковима или управљачким датотекама које генеришу различити алати.

Коначно, скалпел обавља исте функције као и прије, али је фокусиран на побољшане перформансе и мању употребу меморије. Скалпел може радити боље ако имате старију машину са мање РАМ-а.

Опоравите партиције чврстог диска

Ако не можете да монтирате чврсти диск, његова партицијска табела може бити оштећена. Пре него што почнете да покушавате да опоравите важне датотеке, можда ћете моћи да опоравите једну или више партиција на свом уређају, опоравивши све датотеке у једном кораку.

Тестдиск је алат за посао. Покрените га отварањем терминала (Апплицатионс> Аццессориес> Терминал) и куцањем:

судо тестдиск

Ако желите, можете креирати датотеку дневника, иако она неће утицати на количину података које ћете опоравити. Када одаберете, дочекат ће вас попис медија за похрану на вашем рачуналу. Требало би да можете да идентификујете хард диск који желите да обновите партиције по величини и ознаци.

ТестДиск тражи да изаберете тип табеле партиција за тражење. У већини случајева (ект2 / 3, НТФС, ФАТ32, итд.) Треба да изаберете Интел и притиснете Ентер.

Означите Анализирај и притисните ентер.

У нашем случају, наш мали чврсти диск је претходно био форматиран као НТФС. Запањујуће, ТестДиск проналази ову партицију, иако је не може опоравити.

Такође проналази две партиције које смо управо избрисали. У могућности смо да променимо њихове атрибуте или да додамо више партиција, али ћемо их само опоравити притиском на Ентер.

Ако ТестДиск није пронашао све ваше партиције, можете покушати направити дубљу претрагу тако што ћете изабрати ту опцију помоћу лијеве и десне типке са стрелицама. Имали смо само ове две партиције, тако да ћемо их опоравити тако што ћемо изабрати Врите и притиснути Ентер.

Тестдиск нас обавештава да ћемо морати поново покренути систем.

Напомена: Ако ваш Убунту Ливе ЦД није постојан, онда када поново покренете систем морате поново инсталирати све алате које сте раније инсталирали.

Након поновног покретања, обје наше партиције враћају се у првобитно стање, слике и све то.

Опоравак датотека одређених типова

За следеће примере, избрисали смо 10 слика са обе партиције и затим их поново форматирали.

ПхотоРец

Од три алата које ћемо показати, ПхотоРец је најкориснији за корисника, иако је заснован на конзоли. Да бисте покренули опоравак датотека, отворите терминал (Апплицатионс> Аццессориес> Терминал) и упишите:

судо пхоторец

Да бисте почели, од вас се тражи да изаберете уређај за складиштење за претрагу. Требали бисте бити у могућности да идентификујете прави уређај по његовој величини и ознаци. Изаберите одговарајући уређај, а затим притисните Ентер.

ПхотоРец вас пита да изаберете тип партиције за претрагу. У већини случајева (ект2 / 3, НТФС, ФАТ, итд.) Треба да изаберете Интел и притиснете Ентер.

Добили сте листу партиција на вашем изабраном чврстом диску. Ако желите да опоравите све датотеке на партицији, изаберите Сеарцх и притисните ентер.

Међутим, овај процес може бити врло спор, ау нашем случају само желимо тражити датотеке слика, па умјесто тога користимо типку са стрелицом десно за одабир опције Филе Опт и притиснемо Ентер.

ПхотоРец може опоравити много различитих типова датотека, а поништавањем сваког од њих би требало много времена. Уместо тога, притиснемо „с“ да обришемо све одабире, а затим пронађемо одговарајуће типове датотека - јпг, гиф и пнг - и изаберемо их притиском на тастер стрелице удесно.

Када изаберемо ова три, притиснемо “б” да сачувамо ове изборе.

Притисните ентер да бисте се вратили на листу партиција чврстог диска. Желимо да претражимо обе партиције, тако да означимо “Но партитион” и “Сеарцх”, а затим притиснемо Ентер.

ПхотоРец тражи локацију за похрањивање опорављених датотека. Ако имате другачији здрав хард диск, препоручујемо да тамо сачувате опорављене датотеке. Пошто се не опорављамо много, складиштићемо га на радној површини Убунту Ливе ЦД-а.

Напомена: Не враћајте датотеке на чврсти диск на којем се опорављате.

ПхотоРец може да обнови 20 слика са партиција на нашем чврстом диску!

Брзи преглед у директоријуму рецуп_дир.1 који креира потврђује да је ПхотоРец опоравио све наше слике, осим за имена датотека.

Прво

Највише је програм командне линије без интерактивног интерфејса као што је ПхотоРец, али нуди бројне опције командне линије да би добио што је могуће више података из вашег уређаја..

За потпуну листу опција које се могу подесити преко командне линије, отворите терминал (Апплицатионс> Аццессориес> Терминал) и упишите:

форемост -х

У нашем случају, опције командне линије које ћемо користити су:

• -т, листу типова датотека за претрагу одвојених зарезом. У нашем случају, ово је "јпег, пнг, гиф".
• -в, омогућујући опширан начин рада, дајући нам више информација о томе шта је најважније.
• -о, излазни директоријум у који се похрањују опорављени фајлови. У нашем случају, креирали смо директориј назван “најистакнутији” на радној површини.
• -и, улаз који ће се тражити за датотеке. То може бити слика диска у неколико различитих формата; међутим, користићемо хард диск, / дев / сда.

Наш главни позив је:

судо форемост -т јпег, пнг, гиф -свео -в -и / дев / сда

Ваш позив ће се разликовати у зависности од тога шта тражите и где га тражите.

Највише је у стању да опорави 17 од 20 датотека сачуваних на чврстом диску.

Гледајући фајлове, можемо потврдити да су ти фајлови релативно добро опорављени, иако можемо видјети неке грешке у тхумбнаил-у за 00622449.јпг.

Део тога може бити због ект2 датотечног система. Највише препоручује коришћење -д опције командне линије за Линук системе датотека као што је ект2.

Поново ћемо радити, додајући опцију -д командне линије на наш најистакнутији позив:

судо форемост -т јпег, пнг, -г -д -о -в -и / дев / сда

Овај пут, пре свега је у стању да обнови свих 20 слика!

Коначан поглед на слике открива да су слике пронађене без проблема.

Скалпел

Скалпел је још један моћан програм који се, као и Прво, може јако конфигурирати. За разлику од Форемоста, Сцалпел захтева да уредите конфигурациони фајл пре него што покушате са опоравком података.

Било који уређивач текста ће урадити, али ћемо користити гедит да бисмо променили конфигурациони фајл. У прозору терминала (Апплицатионс> Аццессориес> Терминал) упишите:

судо гедит /етц/сцалпел/сцалпел.цонф

сцалпел.цонф садржи информације о одређеном броју различитих типова датотека. Померајте се кроз ову датотеку и рекоманирајте ретке које почињу са типом датотеке коју желите да опоравите (тј. Уклоните знак "#" на почетку тих линија).

Сачувајте датотеку и затворите је. Вратите се на прозор терминала.

Скалпел такође има много опција командне линије које вам могу помоћи да брзо и ефикасно претражујете; међутим, само ћемо дефинисати улазни уређај (/ дев / сда) и излазни директоријум (директоријум који се зове "скалпел" који смо направили на радној површини).

Наш позив је:

судо скалпел / дев / сда -о скалпел

Скалпел је у стању да опорави 18 од 20 датотека.

Брз поглед на датотеке које је опоравио скалпел открива да је већина наших датотека успјешно опорављена, иако је било неких проблема (нпр. 00000012.јпг).

Закључак

У нашем брзом примеру играчака, ТестДиск је успео да обнови две избрисане партиције, а ПхотоРец и Форемост су могли да обнове свих 20 избрисаних слика. Скалпел је опоравио већину датотека, али је врло вјеројатно да би играње са опцијама командне линије за скалпел омогућило да опоравимо свих 20 слика.

Ови алати су спасиоци када нешто крене наопако са вашим чврстим диском. Ако су ваши подаци негде на чврстом диску, онда ће један од тих алата пратити!