Hemsida » hur » Återställ data som en rättsmedicinsk expert med hjälp av en Ubuntu Live CD

    Återställ data som en rättsmedicinsk expert med hjälp av en Ubuntu Live CD

    Det finns många verktyg för att återställa raderade filer, men vad händer om du inte kan starta upp datorn eller hela enheten har formaterats? Vi visar dig några verktyg som gräver djupt och återställer de mest smutsiga borttagna filerna, eller till och med hela hårddiskpartitioner.

    Vi har visat dig enkla sätt att återställa oavsiktligt raderade filer, till och med en enkel metod som kan göras från en Ubuntu Live CD, men för hårddiskar som har blivit hårdskadade, kommer dessa metoder inte att skära den. I den här artikeln granskar vi fyra verktyg som kan återställa data från de mest krossade hårddiskarna, oavsett om de formaterades för en Windows-, Linux- eller Mac-dator, eller om partitionstabellen helt utplånas.

    Obs! Dessa verktyg kan inte återställa data som har skrivits över på en hårddisk. Om en borttagen fil har skrivits över beror på många faktorer - ju snabbare du inser att du vill återställa en fil, desto mer sannolikt kommer du att kunna göra det.

    Vår setup

    För att visa dessa verktyg har vi skapat en liten hårddisk på 1 GB, med hälften av mellanslaget partitionerat som ext2, ett filsystem som används i Linux och hälften av det utrymme som är partitionerat som FAT32, ett filsystem som används i äldre Windows-system. Vi lagrade tio slumpmässiga bilder på varje hårddisk.

    Vi torkade sedan partitionstabellen från hårddisken genom att radera partitionerna i GParted.

    Är vår data förlorad för alltid?

    Installera verktygen

    Alla verktyg vi ska använda finns i Ubuntu s universum förvaret.

    För att aktivera förvaret, öppna Synaptic Package Manager genom att klicka på System längst upp till vänster och sedan Administration> Synaptic Package Manager.

    Klicka på Inställningar> Repositories och lägg till en check i rutan märkt "Community-maintained Open Source-programvara (universum)".

    Klicka på Stäng, och klicka sedan på Reload-knappen i huvudfönstret Synaptic Package Manager. När paketlistan har laddats om och sökindexet byggts om, sök efter och markera för installation ett eller alla följande paket: Testdisk, främst, och skalpell.

    Testdisk inkluderar TestDisk, som kan återställa förlorade partitioner och reparationsstart sektorer, och PhotoRec, som kan återställa många olika typer av filer från massor av olika filsystem.

    Främst, ursprungligen utvecklad av US Air Force Office of Special Investigations, återställer filer baserat på deras rubriker och andra interna strukturer. Först arbetar på hårddiskar eller kör bildfiler som genereras av olika verktyg.

    Till sist, skalpell utför samma funktioner som främst men fokuserar på förbättrad prestanda och lägre minnesanvändning. Skalpel kan bli bättre om du har en äldre maskin med mindre RAM.

    Återställ hårddiskpartitioner

    Om du inte kan montera hårddisken kan dess partitionstabell vara skadad. Innan du försöker återställa viktiga filer kan det vara möjligt att återställa en eller flera partitioner på din enhet, återställa alla dina filer med ett steg.

    Testdisk är verktyget för jobbet. Starta det genom att öppna en terminal (Program> Tillbehör> Terminal) och skriva in:

    sudo testdisk

    Om du vill kan du skapa en loggfil, men det påverkar inte hur mycket data du återställer. När du väl väljer, hälsas du med en lista över lagringsmedia på din maskin. Du ska kunna identifiera hårddisken du vill återställa partitioner från med storlek och etikett.

    TestDisk ber dig välja vilken typ av partitionstabell du vill söka efter. I de flesta fall (ext2 / 3, NTFS, FAT32, etc.) ska du välja Intel och trycka på Enter.

    Markera Analysera och tryck på enter.

    I vårt fall har vår lilla hårddisk tidigare formats som NTFS. Otroligt, finner TestDisk denna partition, men det kan inte återställas.

    Det hittar också de två partitionerna som vi bara tog bort. Vi kan ändra sina attribut eller lägga till fler partitioner, men vi kommer bara att återställa dem genom att trycka på Enter.

    Om TestDisk inte har hittat alla dina partitioner kan du försöka göra en djupare sökning genom att välja det alternativet med vänster och höger piltangent. Vi hade bara dessa två partitioner, så vi återställer dem genom att välja Skriv och trycka på Enter.

    Testdisken informerar oss om att vi måste starta om.

    Obs! Om din Ubuntu Live CD inte är beständig, måste du ominstallera några verktyg som du installerat tidigare när du startar om.

    Efter omstart är båda partitionerna tillbaka till sina ursprungliga tillstånd, bilder och allt.

    Återställ filer av vissa typer

    För följande exempel raderade vi de 10 bilderna från båda partitionerna och omformaterade dem sedan.

    PhotoRec

    Av de tre verktygen vi visar, PhotoRec är den mest användarvänliga, trots att det är ett konsolbaserat verktyg. För att starta återställningen av filer, öppna en terminal (Program> Tillbehör> Terminal) och skriv in:

    sudo photorec

    Till att börja med blir du ombedd att välja en lagringsenhet att söka. Du ska kunna identifiera rätt enhet med storlek och etikett. Välj rätt enhet och tryck sedan på Enter.

    PhotoRec frågar dig att välja vilken typ av partition som ska söka. I de flesta fall (ext2 / 3, NTFS, FAT, etc.) ska du välja Intel och trycka på Enter.

    Du får en lista över partitionerna på den valda hårddisken. Om du vill återställa alla filer på en partition väljer du Sök och trycker på Enter.

    Denna process kan dock vara mycket långsam, och i vårt fall vill vi bara söka efter bildfiler, så istället använder vi den högra pilknappen för att välja File Opt och trycker på Enter.

    PhotoRec kan återställa många olika typer av filer, och avmarkering var och en skulle ta lång tid. I stället trycker vi på "s" för att rensa alla markeringar och hitta sedan lämpliga filtyper - jpg, gif och png - och välj dem genom att trycka på högerpilknappen.

    När vi väl valt dessa tre, trycker vi på "b" för att spara dessa val.

    Tryck på enter för att återgå till listan över hårddiskpartitioner. Vi vill söka i båda våra partitioner, så vi markerar "Ingen partition" och "Sök" och trycker sedan på Enter.

    PhotoRec uppmanar till en plats att lagra de återställda filerna. Om du har en annan hälsosam hårddisk rekommenderar vi att du lagrar de återställda filerna där. Eftersom vi inte återhämtar mycket, lagrar vi den på Ubuntu Live CD: ns skrivbord.

    Obs! Återställ inte filer till hårddisken du återställer från.

    PhotoRec kan återställa 20 bilder från partitionerna på vår hårddisk!

    En snabb titt i katalogen recup_dir.1 som den skapar bekräftar att PhotoRec har återställt alla våra bilder, spara för filnamnen.

    Främst

    Framförallt är ett kommandoradsprogram utan interaktivt gränssnitt som PhotoRec, men erbjuder ett antal kommandoradsalternativ för att få så mycket data ut som möjligt från din haft enhet..

    För en fullständig lista över alternativ som kan tweaked via kommandoraden, öppna en terminal (Program> Tillbehör> Terminal) och skriv in:

    främst -h

    I vårt fall är kommandoradsalternativen vi ska använda är:

    • -t, en kommaseparerad lista över filtyper att söka efter. I vårt fall är detta "jpeg, png, gif".
    • -v, vilket möjliggör verbose-läge, vilket ger oss mer information om vad som främst gör.
    • -o, utmatningsmappen för att lagra återställda filer i. I vårt fall skapade vi en katalog som heter "främst" på skrivbordet.
    • -Jag, den inmatning som ska sökas efter filer. Detta kan vara en skivavbildning i flera olika format; Vi kommer dock att använda en hårddisk, / dev / sda.

    Vår främsta anrop är:

    sudo främst -t jpeg, png, gif -o främst -v -i / dev / sda

    Din inbjudan varierar beroende på vad du söker och var du söker efter det.

    Först är det möjligt att återställa 17 av de 20 filer som lagras på hårddisken.

    Om vi ​​tittar på filerna kan vi bekräfta att dessa filer har återställts relativt bra, men vi kan se några fel i miniatyrbilden för 00622449.jpg.

    En del av detta kan bero på ext2-filsystemet. Rekommenderar främst att använda kommandoraden -d för Linux-filsystem som ext2.

    Vi kör längst fram igen och lägger till alternativet -d-kommandoraden till vår främsta påminnelse:

    sudo främst -t jpeg, png, gif -d -o främst -v -i / dev / sda

    Den här gången kan förstå alla 20 bilder!

    En sista titt på bilderna visar att bilderna var återställda utan problem.

    Skalpell

    Scalpel är ett annat kraftfullt program som, som främst, är starkt konfigurerbart. Till skillnad från främst kräver skalpell att du redigerar en konfigurationsfil innan du försöker att återställa data.

    Varje textredigerare kommer att göra, men vi använder gedit för att ändra konfigurationsfilen. I ett terminalfönster (Tillbehör> Tillbehör> Terminal), skriv in:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf innehåller information om ett antal olika filtyper. Bläddra igenom den här filen och kommenterade linjer som börjar med en filtyp som du vill återställa (dvs ta bort "#" -tecknet i början av de här raderna).

    Spara filen och stäng den. Återgå till terminalfönstret.

    Scalpel har också massor av kommandoradsalternativ som kan hjälpa dig att söka snabbt och effektivt. Vi definierar dock bara inmatningsenheten (/ dev / sda) och utdatamappen (en mapp som heter "skalpell" som vi skapade på skrivbordet).

    Vår uppmaning är:

    sudo skalpell / dev / sda -o skalpell

    Scalpel kan återställa 18 av våra 20 filer.

    En snabb titt på de återställda filerna av skalpell visar att de flesta av våra filer återhämtades framgångsrikt, även om det fanns några problem (t ex 00000012.jpg).

    Slutsats

    I vårt snabba leksaksexempel kunde TestDisk återställa två raderade partitioner, och PhotoRec och Foremost kunde återställa alla 20 raderade bilder. Scalpel återställde de flesta filerna, men det är mycket troligt att spela med kommandoradsalternativen för skalpell skulle ha gjort det möjligt för oss att återställa alla 20 bilder.

    Dessa verktyg är livräddare när något går fel med din hårddisk. Om dina data finns på hårddisken någonstans, kommer ett av dessa verktyg att spåra det!

    Återställ filer med skuggkopior på vilken version av Windows Vista som helst
    Återskapa förlorade formulärdata i Firefox
    Spela in videor på ditt skrivbord på alla operativsystem gratis
    Nästa artikel
    Återställ borttagna filer på en NTFS-hårddisk från en Ubuntu Live CD
    Föregående artikel
    Spela in dina kommandorads sessioner med Asciinema