Laman » bagaimana untuk » Pulihkan Data Seperti Pakar Forensik Menggunakan CD Ubuntu Live

    Pulihkan Data Seperti Pakar Forensik Menggunakan CD Ubuntu Live

    Terdapat banyak utiliti untuk memulihkan fail yang dipadam, tetapi bagaimana jika anda tidak dapat boot komputer anda, atau seluruh pemacu telah diformat? Kami akan menunjukkan kepada anda beberapa alat yang akan menggali mendalam dan memulihkan fail yang paling sukar dipadam, atau bahkan partisyen cakera keras.

    Kami telah menunjukkan kepada anda cara mudah untuk memulihkan fail tanpa sengaja dipadam, walaupun kaedah mudah yang boleh dilakukan dari CD Ubuntu Live, tetapi untuk cakera keras yang telah banyak rosak, kaedah tersebut tidak akan memotongnya. Dalam artikel ini, kita akan meneliti empat alat yang dapat memulihkan data dari cakera keras yang paling merosakkan, tanpa mengira sama ada ia diformat untuk komputer Windows, Linux, atau Mac, atau walaupun jadual partition dihapuskan sepenuhnya.

    Nota: Alat ini tidak dapat memulihkan data yang telah ditimpa pada cakera keras. Sama ada fail yang dihapuskan telah ditimpa bergantung pada banyak faktor - semakin cepat anda menyedari bahawa anda ingin memulihkan fail, semakin besar kemungkinan anda dapat melakukannya.

    Persediaan kami

    Untuk menunjukkan alat-alat ini, kami telah menyediakan cakera keras 1 GB yang kecil, dengan separuh ruang dibahagikan sebagai ext2, sebuah sistem fail yang digunakan dalam Linux, dan separuh ruang dibahagikan sebagai FAT32, sebuah sistem fail yang digunakan dalam sistem Windows lama. Kami menyimpan sepuluh gambar rawak pada setiap cakera keras.

    Kami kemudian menyapih jadual partition dari cakera keras dengan memotong partition di GParted.

    Adakah data kami hilang selama-lamanya?

    Memasang alat

    Semua alat yang akan kami gunakan adalah dalam Ubuntu Alam semesta repositori.

    Untuk membolehkan repositori, buka Pengurus Pakej Synaptic dengan mengklik Sistem di bahagian kiri atas, kemudian Pentadbiran> Pengurus Paket Synaptic.

    Klik pada Tetapan> Repositori dan tambah semak dalam kotak yang dilabel "Perisian Open Source yang dipelihara oleh komuniti (alam semesta)".

    Klik Tutup, kemudian pada tetingkap Manager Package Synaptic utama, klik butang Reload. Setelah senarai pakej dimuat semula, dan indeks carian dibina semula, cari dan tandakan untuk pemasangan satu atau semua pakej berikut: testdisk, terutamanya, dan pisau bedah.

    Testdisk termasuk TestDisk, yang boleh memulihkan partisi yang hilang dan pembaikan sektor boot, dan PhotoRec, yang boleh memulihkan pelbagai jenis fail dari banyak sistem fail yang berbeza.

    Terutamanya, yang asalnya dibangunkan oleh Pejabat Siasatan Khas Tentera Udara AS, memulihkan fail berdasarkan tajuk mereka dan struktur dalaman yang lain. Terutamanya beroperasi pada pemacu keras atau memacu fail imej yang dihasilkan oleh pelbagai alat.

    Akhirnya, pisau bedah melakukan fungsi yang sama sebagai yang paling utama, tetapi memberi tumpuan kepada peningkatan prestasi dan penggunaan memori yang lebih rendah. Pisau pisau mungkin berjalan lebih baik jika anda mempunyai mesin yang lebih tua dengan kurang RAM.

    Pulihkan partisyen cakera keras

    Sekiranya anda tidak dapat memacu cakera keras anda, maka jadual partitionnya mungkin rosak. Sebelum anda mula mencuba untuk memulihkan fail penting anda, mungkin untuk memulihkan satu atau lebih partition pada pemacu anda, memulihkan semua fail anda dengan satu langkah.

    Testdisk adalah alat untuk pekerjaan itu. Mulakan dengan membuka terminal (Aplikasi> Aksesori> Terminal) dan menaip di:

    sudo testdisk

    Sekiranya anda mahu, anda boleh membuat fail log, walaupun ia tidak akan menjejaskan berapa data yang anda pulih. Sebaik sahaja anda membuat pilihan anda, anda disambut dengan senarai media storan pada mesin anda. Anda sepatutnya dapat mengenal pasti cakera keras yang anda mahu memulihkan partition dari saiz dan labelnya.

    TestDisk meminta anda memilih jenis jadual partition untuk mencari. Dalam kebanyakan kes (ext2 / 3, NTFS, FAT32, dll) anda perlu memilih Intel dan tekan Enter.

    Serlahkan Analyze dan tekan enter.

    Dalam kes kami, cakera keras kecil kami sebelum ini telah diformat sebagai NTFS. Hebatnya, TestDisk mendapati partition ini, walaupun ia tidak dapat memulihkannya.

    Ia juga mendapati dua sekatan yang baru sahaja dipadamkan. Kami dapat menukar atribut mereka, atau menambah lebih banyak partition, tetapi kami akan memulihkannya dengan menekan Enter.

    Jika TestDisk tidak menemui semua sekatan anda, anda boleh cuba melakukan carian yang lebih dalam dengan memilih pilihan itu dengan kekunci anak panah kiri dan kanan. Kami hanya mempunyai dua sekatan ini, jadi kami akan memulihkannya dengan memilih Menulis dan menekan Enter.

    Testdisk memberitahu kami bahawa kami perlu reboot.

    Nota: Jika CD Ubuntu Live anda tidak berterusan, maka apabila anda reboot, anda perlu memasang semula apa-apa alat yang telah anda pasang sebelumnya.

    Setelah memulakan semula, kedua-dua partisyen kami kembali ke keadaan asal, gambar dan semua.

    Pulihkan fail jenis tertentu

    Untuk contoh berikut, kami memadam 10 gambar dari kedua-dua sekatan dan kemudian mengubahnya.

    PhotoRec

    Daripada tiga alat yang kami akan tunjukkan, PhotoRec adalah yang paling mesra pengguna, walaupun merupakan utiliti berasaskan konsol. Untuk mula memulihkan fail, buka terminal (Aplikasi> Aksesori> Terminal) dan taipkan:

    sudo photorec

    Untuk memulakan, anda diminta memilih peranti simpanan untuk mencari. Anda sepatutnya dapat mengenal pasti peranti yang betul dengan saiz dan labelnya. Pilih peranti yang betul, kemudian tekan Enter.

    PhotoRec meminta anda memilih jenis partition untuk mencari. Dalam kebanyakan kes (ext2 / 3, NTFS, FAT, dan sebagainya) anda harus memilih Intel dan tekan Enter.

    Anda diberi senarai partition pada pemacu keras yang anda pilih. Jika anda ingin memulihkan semua fail pada partition, kemudian pilih Cari dan tekan enter.

    Walau bagaimanapun, proses ini boleh menjadi sangat perlahan, dan dalam kes kita, kita hanya mahu mencari fail gambar, jadi sebaliknya kita gunakan kekunci anak panah kanan untuk memilih Fail Opt dan tekan Enter.

    PhotoRec boleh memulihkan pelbagai jenis fail yang berbeza, dan menghilangkan pilihan setiap satu akan mengambil masa yang lama. Sebaliknya, kita tekan "s" untuk memadam semua pilihan, dan kemudian cari jenis fail yang sesuai - jpg, gif, dan png - dan pilihnya dengan menekan butang anak panah kanan.

    Sebaik sahaja kami memilih ketiga, kami tekan "b" untuk menyimpan pilihan ini.

    Tekan enter untuk kembali ke senarai partition pemacu keras. Kami mahu mencari kedua-dua sekatan kami, jadi kami menyerlahkan "Tiada partition" dan "Carian" dan kemudian tekan Enter.

    PhotoRec meminta lokasi untuk menyimpan fail yang pulih. Jika anda mempunyai pemacu keras yang sihat yang berbeza, maka kami cadangkan menyimpan fail yang ada di sana. Oleh kerana kami tidak banyak pulih, kami akan menyimpannya di desktop Ubuntu Live CD.

    Nota: Jangan pulihkan fail ke cakera keras yang anda sembuh dari.

    PhotoRec dapat memulihkan 20 gambar dari sekatan pada cakera keras kami!

    Melihat cepat dalam direktori recup_dir.1 yang dihasilkannya mengesahkan bahawa PhotoRec telah pulih semua gambar kami, simpan untuk nama fail.

    Terutamanya

    Terutama adalah program arahan-arahan tanpa antara muka interaktif seperti PhotoRec, tetapi menawarkan sejumlah pilihan baris arahan untuk mendapatkan data sebanyak mungkin dari pemacu anda.

    Untuk senarai penuh pilihan yang boleh ditapis melalui baris arahan, buka terminal (Aplikasi> Aksesori> Terminal) dan taipkan:

    utama -h

    Dalam kes kami, pilihan baris perintah yang akan kami gunakan ialah:

    • -t, senarai jenis fail yang dipisahkan koma untuk dicari. Dalam kes kami, ini adalah "jpeg, png, gif".
    • -v, membolehkan mode verbose, memberi kami lebih banyak maklumat tentang apa yang dilakukan.
    • -o, folder keluaran untuk menyimpan fail pulih dalam. Dalam kes kami, kami mencipta direktori yang dipanggil "utama" di desktop.
    • -i, input yang akan dicari untuk fail. Ini boleh menjadi imej cakera dalam beberapa format yang berbeza; Walau bagaimanapun, kami akan menggunakan cakera keras, / dev / sda.

    Tugas utama kami ialah:

    sudo terpenting -t jpeg, png, gif -o utamanya -v -i / dev / sda

    Tugas anda akan berbeza bergantung pada apa yang anda cari dan di mana anda mencarinya.

    Terutamanya dapat memulihkan 17 daripada 20 fail yang disimpan pada cakera keras.

    Melihat fail, kita boleh mengesahkan bahawa fail-fail ini telah pulih dengan agak baik, walaupun kita dapat melihat beberapa kesilapan di dalam thumbnail untuk 00622449.jpg.

    Sebahagian daripada ini mungkin disebabkan oleh sistem fail ext2. Utama mengesyorkan menggunakan pilihan baris -d untuk sistem fail Linux seperti ext2.

    Kami akan menguasai semula sekali lagi, sambil menambah pilihan baris perintah -d untuk penyerahan utama kami:

    sudo utama -t jpeg, png, gif -d -o utamanya -v -i / dev / sda

    Kali ini, yang paling utama dapat memulihkan semua 20 imej!

    Melihat terakhir pada gambar mendedahkan bahawa gambar telah pulih tanpa sebarang masalah.

    Pisau pisau

    Scalpel adalah satu lagi program berkuasa yang, seperti Foremost, sangat boleh dikonfigurasikan. Tidak seperti yang paling utama, Scalpel menghendaki anda mengedit fail konfigurasi sebelum cuba memulihkan sebarang data.

    Sebarang editor teks akan dilakukan, tetapi kami akan menggunakan gedit untuk menukar fail konfigurasi. Dalam tetingkap terminal (Aplikasi> Aksesori> Terminal), ketik:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf mengandungi maklumat mengenai beberapa jenis fail yang berbeza. Tatal melalui fail ini dan garisan nota yang bermula dengan jenis fail yang anda mahu pulih (iaitu mengeluarkan aksara "#" pada permulaan baris tersebut).

    Simpan fail dan tutupnya. Kembali ke tetingkap terminal.

    Scalpel juga mempunyai satu ton pilihan baris arahan yang boleh membantu anda mencari dengan cepat dan berkesan; Walau bagaimanapun, kami hanya akan menentukan peranti input (/ dev / sda) dan folder output (folder yang dipanggil "pisau pisau" yang kami buat di desktop).

    Tugas kami ialah:

    sudo scalpel / dev / sda -o scalpel

    Scalpel dapat memulihkan 18 daripada 20 fail kami.

    Melihat dengan cepat pada pisau pemulihan fail yang diperolehi mendedahkan bahawa kebanyakan fail kami berjaya ditemui, walaupun terdapat beberapa masalah (mis. 00000012.jpg).

    Kesimpulannya

    Dalam contoh mainan cepat kami, TestDisk dapat memulihkan dua partisyen yang telah dihapuskan, dan PhotoRec dan Foremost dapat memulihkan semua 20 imej yang dipadamkan. Scalpel pulih kebanyakan fail, tetapi kemungkinan besar bermain dengan pilihan baris perintah untuk pisau pisau akan membolehkan kita memulihkan semua 20 imej.

    Alat ini adalah pencari hidup apabila ada masalah dengan cakera keras anda. Jika data anda berada di cakera keras di suatu tempat, maka salah satu alat ini akan mengesannya!

    Pulihkan Fail dengan Salinan Bayangan pada Sebarang Versi Windows Vista
    Pulihkan Data Borang Hilang di Firefox
    Rakam Video Desktop Anda pada Setiap OS untuk Percuma
    Artikel seterusnya
    Pulihkan Fail Dihapus pada Hard Drive NTFS dari CD Ubuntu Live
    Artikel sebelumnya
    Rekod Sesi Talian Perintah Anda dengan Asciinema