Tietojen palauttaminen kuten rikosteknisten asiantuntijoiden käyttö Ubuntu Live -CD-levyn käyttö

2024 Kirjoittaja: Geoffrey Carr | [email protected]. Viimeksi muokattu: 2023-12-17 10:56

Paljon apuohjelmia palauttaa poistetut tiedostot, mutta entä jos et voi käynnistää tietokonetta tai koko asema on alustettu? Näytämme sinulle työkaluja, jotka kaivaavat syvälle ja palauttavat vaikeimmat poistetut tiedostot tai jopa koko kiintolevyosion.

Olemme näyttäneet sinulle yksinkertaisia tapoja palauttaa vahingossa poistetut tiedostot, jopa yksinkertainen menetelmä, joka voidaan tehdä Ubuntu Live -CD-levyltä, mutta kovalevyille, jotka ovat olleet voimakkaasti vioittuneet, nämä menetelmät eivät joudu leikkaamaan sitä. Tässä artikkelissa tarkastelemme neljää työkalua, jotka voivat palauttaa tietoja eniten sekaantuneista kiintolevyistä riippumatta siitä, ovatko ne muotoiltuja Windows-, Linux- tai Mac-tietokoneelle tai vaikka partitaulukko pyyhkäisi kokonaan pois.

Huomaa: Nämä työkalut eivät pysty palauttamaan tietoja, jotka on korvattu kiintolevylle. Jos poistettu tiedosto on kirjoitettu päälle, se riippuu monista tekijöistä - sitä nopeammin, kun ymmärrät, että haluat palauttaa tiedoston, sitä todennäköisemmin voit tehdä sen.

Meidän kokoonpano

Näiden työkalujen näyttämiseksi olemme asettaneet pienen 1 Gt: n kiintolevyn, jossa puolet tilasta, joka on osioitu ext2: ksi, Linuxissa käytettävä tiedostojärjestelmä ja puolet tilasta, joka on osioitu FAT32: ksi, vanhempien Windows-järjestelmien tiedostojärjestelmä. Tallennettiin kymmenen satunnaista kuvaa jokaiselle kovalevylle.

Sitten pyyhimme osiotaulukon kiintolevyltä poistamalla osion GPartedista.

Työkalujen asentaminen

Kaikki työkalut, joita aiomme käyttää, ovat Ubuntussa maailmankaikkeus arkistoon.

Jos haluat ottaa arkiston käyttöön, avaa Synaptic-paketinhallinta napsauttamalla Järjestelmä vasemmassa yläkulmassa ja sitten Hallinta> Synaptic-paketinhallinta.

Napsauta Asetukset> Varastot ja lisää sekki kohtaan "Yhteisössä ylläpidetty avoimen lähdekoodin ohjelmisto (maailmankaikkeus)".

Napsauta Sulje ja sitten Synaptic-paketinhallinta -ikkunassa napsauta Lataa-painiketta. Kun pakettiluettelo on ladattu uudelleen ja hakuindeksi on uudelleenrakennettu, etsi ja merkitse asennusta varten yksi tai kaikki seuraavista paketeista: TestDisk, johtava, ja leikkausveitsi.

TestDisk sisältää TestDiskin, joka voi palauttaa kadonneita osioita ja korjaus käynnistysosia ja PhotoRec, joka voi palauttaa useita erilaisia tiedostoja tonnistosta eri tiedostojärjestelmiä.

johtava, jonka alun perin kehitti Yhdysvaltain ilmavoimien erityisvastuutekniikan laitos, palauttaa tiedostoja niiden otsikoiden ja muiden sisäisten rakenteiden perusteella. Ensinnäkin se toimii eri työkaluilla tuotetuilla kiintolevyillä tai ajettavilla kuvatiedostoilla.

Lopuksi leikkausveitsi suorittaa samoja toimintoja kuin ensisijainen, mutta keskittyy parempaan suorituskykyyn ja pienempään muistin käyttöön. Leikkausvoima voi toimia paremmin, jos sinulla on vanhempi kone, jolla on vähemmän RAM-muistia.

Palauta kiintolevyosiot

Jos kiintolevyä ei voi asentaa, sen osiotaulukko saattaa olla vioittunut. Ennen kuin alat yrittää palauttaa tärkeät tiedostot, voi olla mahdollista palauttaa yksi tai useampi osio asemalle ja palauttaa kaikki tiedostot yhdellä askeleella.

TestDisk on työkalu työhön. Aloita se avaamalla päätelaite (Sovellukset> Lisävarusteet> Pääte) ja kirjoittamalla:


sudo testdisk

Jos haluat, voit luoda lokitiedoston, mutta se ei vaikuta siihen, kuinka paljon palautat tietoja. Kun olet tehnyt valintasi, sinua tervehtii luettelo laitteesi tallennusvälineistä. Sinun pitäisi pystyä tunnistamaan kiintolevy, jonka haluat palauttaa osioita sen koon ja merkinnän mukaan.

TestDisk pyytää sinua valitsemaan etsittävän osion taulukon tyypin. Useimmissa tapauksissa (ext2 / 3, NTFS, FAT32 jne.) Sinun on valittava Intel ja paina Enter.

Meidän tapauksessamme pieni kovalevy on aiemmin muotoiltu NTFS: ksi. Hämmästyttävän, TestDisk löytää tämän osion, vaikka se ei pysty palauttamaan sitä.

Se löytää myös kaksi osioita, jotka juuri poistimme. Voimme muuttaa ominaisuuksia tai lisätä osioita, mutta palaamme ne vain painamalla Enteriä.

Jos TestDisk ei ole löytänyt kaikkia osioita, voit yrittää tehdä syvemmän haun valitsemalla kyseisen vaihtoehdon vasemmalla ja oikealla nuolinäppäimellä. Meillä oli vain nämä kaksi osiota, joten palaamme ne valitsemalla Kirjoita ja painamalla Enter.

Testdisk ilmoittaa, että meidän on käynnistettävä uudelleen.

Huomaa: Jos Ubuntu Live -CD-levy ei ole pysyvä, silloin kun käynnistät uudelleen, sinun on asennettava kaikki aiemmin asennetut työkalut.

Uudelleenkäynnistyksen jälkeen molemmat osioimme palaavat alkuperäisiin tiloihinsa, kuviaan ja kaikkiin.

Palauta tietyntyyppiset tiedostot

Seuraavissa esimerkeissä poistimme 10 kuvaa molemmista osioista ja uudistettiin ne sitten.

PhotoRec

Kolme näistä työkaluista, PhotoRec on käyttäjäystävällisin, vaikka se on konsolipohjainen apuohjelma. Aloita tiedostojen palauttaminen avaamalla pääte (Sovellukset> Lisävarusteet> Pääte) ja kirjoita:


sudo photorec

Aloitaksesi sinua pyydetään valitsemaan tallennuslaite etsimään. Sinun pitäisi pystyä tunnistamaan oikea laite sen koon ja etiketin mukaan. Valitse oikea laite ja paina sitten Enter.

PhotoRec pyytää sinua valitsemaan etsittävän osion tyypin. Useimmissa tapauksissa (ext2 / 3, NTFS, FAT jne.) Valitse Intel ja paina Enter.

Sinulle annetaan luettelo valitun kiintolevyn osioista.Jos haluat palauttaa kaikki tiedostot osioon, valitse Etsi ja paina enter.

Tämä prosessi voi kuitenkin olla hyvin hidasta, ja meidän tapauksessa haluamme vain etsiä kuvatiedostoja, joten käytämme oikeaa nuolinäppäintä valitaksesi File Opt ja paina Enter.

PhotoRec voi palauttaa monenlaisia tiedostoja, ja kummankin valinnan poistaminen kestää kauan. Sen sijaan painelemme "s" poistamalla kaikki valinnat ja etsimällä sopivat tiedostotyypit - jpg, gif ja png - ja valitsemalla ne oikealla nuolinäppäimellä.

Kun olemme valinneet nämä kolme, painelemme "b" tallentaaksesi nämä valinnat.

Palaa kiintolevyosioiden luetteloon painamalla Enter. Haluamme etsiä molemmista osioistamme, joten korostamme "Ei osio" ja "Haku" ja painamme sitten Enter.

PhotoRec pyytää sijaintia tallentamaan palautetut tiedostot. Jos sinulla on erilainen terveellinen kiintolevy, suosittelemme tallentamaan palautetut tiedostot siellä. Koska emme palauta kovin paljon, tallennamme sen Ubuntu Live CD: n työpöydälle.

Huomaa: Älä palauta tiedostoja kovalevylle, josta olet talteen.

PhotoRec pystyy palauttamaan 20 kuvaa kiintolevyllä olevista osista!

Nopea katsaus luotuun rekup dir.1 -hakemistoon vahvistaa, että PhotoRec on palauttanut kaikki kuvat, paitsi tiedostonimet.

johtava

Etupäässä on komentoriviohjelma, jossa ei ole vuorovaikutteista käyttöliittymää, kuten PhotoRec, mutta se tarjoaa useita komentorivivaihtoehtoja saadakseen mahdollisimman paljon tietoja käyttämästäsi asemasta.

Täydellinen luettelo vaihtoehdoista, joita voidaan muokata komentorivillä, avaa pääte (Sovellukset> Lisävarusteet> Terminaali) ja kirjoita:


foremost –h

Meidän tapauksessamme käytettävät komentorivivalinnat ovat:

-t, pilkuilla eroteltu luettelo hakutyypeistä. Meidän tapauksessamme tämä on "jpeg, png, gif".
-v, mikä mahdollistaa verbose-tilan, antaa meille lisätietoja siitä, mitä kaikkea etenee.
-o, lähdekansio, johon tallennetut tiedostot tallennetaan. Meidän tapauksessamme luotiin hakemisto nimeltä "ensisijainen" työpöydällä.
-i, tiedosto, jota etsitään. Tämä voi olla levykuva useissa eri muodoissa; Käytämme kuitenkin kiintolevyä, / dev / sda.

Meidän tärkein haasteemme on:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Sinun kutsusi vaihtelee sen mukaan, mitä etsit ja mistä etsit.

Ensinnäkin se pystyy palauttamaan 17 kovalevylle tallennetuista 20 tiedostosta.

Tarkastelemalla tiedostoja voimme vahvistaa, että nämä tiedostot on palautettu suhteellisen hyvin, vaikka näimme joitain virheitä pienoiskuvassa 00622449.jpg.

Osa tästä voi johtua ext2-tiedostojärjestelmästä. Ensinnäkin suositellaan käytettäväksi Linux-tiedostojärjestelmien -d komentorivivalitsinta, kuten ext2.

Jatkamme jälleen kerran, lisäämällä -d komentorivivalinta ensisijaiseen kutsumukseen:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Tällä kertaa ennen kaikkea pystyy palauttamaan kaikki 20 kuvaa!

Kuvien lopullinen tarkastelu paljastaa, että kuvat otettiin talteen ilman ongelmia.

leikkausveitsi

Scalpel on toinen voimakas ohjelma, joka, kuten Foremost, on voimakkaasti konfiguroitavissa. Toisin kuin Foremost, Scalpel vaatii, että muokkaat kokoonpanotiedostoa ennen tietojen palauttamista.

Mikä tahansa tekstieditori tekee, mutta käytämme gedit-asetusta muuttamalla asetustiedostoa. Valitse pääteikkunassa (Sovellukset> Lisävarusteet> Pääte) kirjoittamalla:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf sisältää tietoja useista eri tiedostotyypeistä. Selaa tätä tiedostoa ja poistumattomia viivoja, jotka alkavat tiedostotyypillä, jonka haluat palauttaa (eli poista # -merkki näiden rivien alussa).

Tallenna tiedosto ja sulje se. Palaa pääteikkunaan.

Scalpelillä on myös runsaasti komentorivivalitsimia, joiden avulla voit etsiä nopeasti ja tehokkaasti. määritämme kuitenkin vain syöttölaitteen (/ dev / sda) ja tulostuskansion (kansio nimeltä "scalpel", joka luotiin työpöydällä).

Meidän kutsumuksemme on:


sudo scalpel /dev/sda –o scalpel

Scalpel pystyy palauttamaan 18 tiedostoa 20 kappaletta.

Nopea tarkastelu tiedostoista, jotka on korjattu skalpella, paljastaa, että suurin osa tiedostoistamme palautettiin onnistuneesti, vaikka ongelmia esiintyi (esim. 00000012.jpg).

johtopäätös

Esimerkiksi nopealla lelujaksolla TestDisk pystyi palauttamaan kaksi poistettua osioa, ja PhotoRec ja Foremost pystyivät palauttamaan kaikki 20 poistettua kuvaa. Leikkauskypärä toipui useimmat tiedostot, mutta on hyvin todennäköistä, että leikkaaminen komentorivin vaihtoehdoilla skalpelille olisi mahdollistanut kaikkien 20 kuvan palauttamisen.

Nämä työkalut ovat hengenvaarallisia, kun jokin menee pieleen kiintolevyn kanssa. Jos tietosi ovat kiintolevyllä jonnekin, yksi näistä työkaluista seuraa sitä alas!