Hjemmeside » hvordan » Gjenopprett data som en Forensics Expert ved hjelp av en Ubuntu Live CD

    Gjenopprett data som en Forensics Expert ved hjelp av en Ubuntu Live CD

    Det er mange verktøy for å gjenopprette slettede filer, men hva om du ikke kan starte opp datamaskinen din, eller hele stasjonen har blitt formatert? Vi viser deg noen verktøy som vil grave dypt og gjenopprette de mest utrykkede slettede filene, eller til og med hele harddiskpartisjoner.

    Vi har vist deg enkle måter å gjenopprette utilsiktet slettede filer, selv en enkel metode som kan gjøres fra en Ubuntu Live CD, men for harddisker som har blitt sterkt skadet, vil disse metodene ikke klippe den. I denne artikkelen vil vi undersøke fire verktøy som kan gjenopprette data fra de mest ødelagte harddiskene, uavhengig av om de ble formatert for en Windows-, Linux- eller Mac-datamaskin, eller om partisjonstabellen er utryddet helt.

    Merk: Disse verktøyene kan ikke gjenopprette data som er overskrevet på en harddisk. Hvorvidt en slettet fil er overskrevet avhenger av mange faktorer - jo raskere innser du at du vil gjenopprette en fil, desto mer sannsynlig vil du kunne gjøre det.

    Vår oppsett

    For å vise disse verktøyene har vi opprettet en liten 1 GB harddisk, med halvparten av partisjonen delt opp som ext2, et filsystem som brukes i Linux og halvparten av partisjonen som FAT32, et filsystem som brukes i eldre Windows-systemer. Vi lagret ti tilfeldige bilder på hver harddisk.

    Vi tørket deretter partisjonstabellen fra harddisken ved å slette partisjonene i GParted.

    Er våre data tapt for alltid?

    Installere verktøyene

    Alle verktøyene vi skal bruke er i Ubuntu univers oppbevaringssted.

    For å aktivere depotet, åpne Synaptic Package Manager ved å klikke System øverst til venstre, deretter Administrasjon> Synaptic Package Manager.

    Klikk på Innstillinger> Oppbevaringssteder og legg til en sjekk i boksen merket "Fellesskapsbestemt Open Source-programvare (univers)".

    Klikk på Lukk, og klikk deretter på Oppdater på nytt i hovedvinduet for Synaptic Package Manager. Når pakkelisten har lastet opp, og søkeindeksen gjenoppbygges, søker du etter og merker for installasjon en eller alle følgende pakker: Testdisk, fremst, og skalpell.

    Testdisk inkluderer TestDisk, som kan gjenopprette tapte partisjoner og reparere oppstartssektorer, og PhotoRec, som kan gjenopprette mange forskjellige typer filer fra tonnevis av forskjellige filsystemer.

    fremst, opprinnelig utviklet av US Air Force Office of Special Investigations, gjenoppretter filer basert på deres overskrifter og andre interne strukturer. For det meste opererer på harddisker eller kjøre bildefiler generert av ulike verktøy.

    Endelig, skalpell Utfører de samme funksjonene som de fremste, men er fokusert på forbedret ytelse og lavere minnebruk. Scalpel kan kjøre bedre hvis du har en eldre maskin med mindre RAM.

    Gjenopprett harddiskpartisjoner

    Hvis du ikke kan montere harddisken, kan partisjonstabellen bli ødelagt. Før du begynner å prøve å gjenopprette viktige filer, kan det være mulig å gjenopprette en eller flere partisjoner på stasjonen din, gjenopprette alle filene dine med ett trinn.

    Testdisk er verktøyet for jobben. Start det ved å åpne en terminal (Programmer> Tilbehør> Terminal) og skrive inn:

    sudo testdisk

    Hvis du vil, kan du opprette en loggfil, selv om det ikke vil påvirke hvor mye data du gjenoppretter. Når du velger, blir du møtt med en liste over lagringsmedia på maskinen din. Du bør kunne identifisere harddisken du vil gjenopprette partisjoner fra av størrelse og etikett.

    TestDisk ber deg velge hvilken type partisjonstabell du skal søke etter. I de fleste tilfeller (ext2 / 3, NTFS, FAT32, etc.) bør du velge Intel og trykke Enter.

    Marker Analyser og trykk enter.

    I vårt tilfelle har vår lille harddisk tidligere blitt formatert som NTFS. Utrolig, finner TestDisk denne partisjonen, selv om den ikke klarer å gjenopprette den.

    Det finner også de to partisjonene vi nettopp slettet. Vi kan endre deres attributter, eller legge til flere partisjoner, men vi vil bare gjenopprette dem ved å trykke på Enter.

    Hvis TestDisk ikke har funnet alle partisjonene dine, kan du prøve å gjøre et dypere søk ved å velge det alternativet med venstre og høyre piltastene. Vi hadde bare disse to partisjonene, så vi vil gjenopprette dem ved å velge Skriv og trykke Enter.

    Testdisk informerer oss om at vi må starte på nytt.

    Merk: Hvis Ubuntu Live CD ikke er vedvarende, må du reinstallere noen verktøy du installerte tidligere når du starter på nytt..

    Etter å ha startet på nytt, er begge partisjonene våre tilbake til deres originale tilstander, bilder og alt.

    Gjenopprett filer av bestemte typer

    For de følgende eksemplene slettet vi de 10 bildene fra begge partisjonene og formaterte dem deretter.

    PhotoRec

    Av de tre verktøyene vi viser, PhotoRec er det mest brukervennlige, til tross for at det er et konsollbasert verktøy. For å begynne å gjenopprette filer, åpne en terminal (Programmer> Tilbehør> Terminal) og skriv inn:

    sudo fotorek

    For å begynne, blir du bedt om å velge en lagringsenhet for å søke. Du bør kunne identifisere riktig enhet med størrelse og etikett. Velg riktig enhet, og trykk deretter på Enter.

    PhotoRec ber deg velge hvilken type partisjon som skal søkes. I de fleste tilfeller (ext2 / 3, NTFS, FAT, etc.) bør du velge Intel og trykke på Enter.

    Du får en liste over partisjonene på den valgte harddisken din. Hvis du vil gjenopprette alle filene på en partisjon, velg Søk og trykk Enter.

    Denne prosessen kan imidlertid være veldig treg, og i vårt tilfelle ønsker vi bare å søke etter bildefiler, så i stedet bruker vi høyre piltast for å velge File Opt og trykker Enter.

    PhotoRec kan gjenopprette mange forskjellige typer filer, og avvelging av hver enkelt vil ta lang tid. I stedet trykker vi på "s" for å slette alle valgene, og deretter finner du de aktuelle filtypene - jpg, gif og png - og velg dem ved å trykke på høyre piltast.

    Når vi har valgt disse tre, trykker vi på "b" for å lagre disse valgene.

    Trykk enter for å gå tilbake til listen over harddiskpartisjoner. Vi ønsker å søke i begge partisjonene våre, så vi markerer "Ingen partisjon" og "Søk", og deretter trykker du på Enter.

    PhotoRec ber om et sted å lagre de gjenopprettede filene. Hvis du har en annen sunn harddisk, anbefaler vi at du lagrer de gjenopprettede filene der. Siden vi ikke gjenoppretter veldig mye, lagrer vi den på Ubuntu Live CDs skrivebord.

    Merk: Ikke gjenopprett filer til harddisken du gjenoppretter fra.

    PhotoRec kan gjenopprette 20 bilder fra partisjonene på harddisken!

    En rask titt i katalogen recup_dir.1 som den oppretter, bekrefter at PhotoRec har gjenopprettet alle bildene våre, lagret for filnavnene.

    fremst

    Fremtredende er et kommandolinjeprogram uten interaktivt grensesnitt som PhotoRec, men tilbyr en rekke kommandolinjevalg for å få så mye data ut av din stasjon som mulig.

    For en fullstendig liste over alternativer som kan tweaked via kommandolinjen, åpne en terminal (Programmer> Tilbehør> Terminal) og skriv inn:

    først og fremst -h

    I vårt tilfelle er kommandolinjealternativene vi skal bruke,:

    • -t, en kommaseparert liste over typer filer for å søke etter. I vårt tilfelle er dette "jpeg, png, gif".
    • -v, aktivere verbose-modus, noe som gir oss mer informasjon om hva som er viktigst.
    • -o, utdatamappen for å lagre gjenopprettede filer i. I vårt tilfelle opprettet vi en katalog kalt "fremst" på skrivebordet.
    • -Jeg, inngangen som vil bli søkt etter filer. Dette kan være et disk image i flere forskjellige formater; Vi vil imidlertid bruke en harddisk, / dev / sda.

    Vår fremste påstand er:

    sudo fremste -t ​​jpeg, png, gif -o fremste -v -i / dev / sda

    Din invokasjon vil variere avhengig av hva du søker etter og hvor du søker etter det.

    Først er det mulig å gjenopprette 17 av de 20 filene som er lagret på harddisken.

    Ser på filene, kan vi bekrefte at disse filene ble gjenopprettet relativt bra, selv om vi kan se noen feil i miniatyrbildet for 00622449.jpg.

    En del av dette kan skyldes ext2-filsystemet. Anbefaler for det meste å bruke kommandolinjen -d for Linux-filsystemer som ext2.

    Vi kjører først og fremst, og legger til alternativet -d kommandolinje til vår fremste invokasjon:

    sudo fremste -t ​​jpeg, png, gif -d -o fremste -v -i / dev / sda

    Denne gangen er det først og fremst i stand til å gjenopprette alle 20 bildene!

    En siste titt på bildene viser at bildene ble gjenopprettet uten problemer.

    scalpel

    Scalpel er et annet kraftig program som, som Foremost, er tungt konfigurerbar. I motsetning til mest, krever Scalpel deg å redigere en konfigurasjonsfil før du prøver å gjenopprette data.

    Enhver tekstredigerer vil gjøre, men vi bruker gedit til å endre konfigurasjonsfilen. I et terminalvindu (Programmer> Tilbehør> Terminal), skriv inn:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf inneholder informasjon om en rekke forskjellige filtyper. Bla gjennom denne filen og ukomment linjer som starter med en filtype du vil gjenopprette (dvs. fjern "#" -tegnet ved starten av disse linjene).

    Lagre filen og lukk den. Gå tilbake til terminalvinduet.

    Scalpel har også massevis av kommandolinjealternativer som kan hjelpe deg med å søke raskt og effektivt; Vi vil imidlertid bare definere inngangsenheten (/ dev / sda) og utdatamappen (en mappe som heter "skalpell" som vi opprettet på skrivebordet).

    Vår påtalelse er:

    sudo skalpell / dev / sda -o skalpell

    Scalpel kan gjenopprette 18 av våre 20 filer.

    En rask titt på filene skalpellet gjenopprettet viser at de fleste av våre filer ble gjenopprettet, selv om det var noen problemer (for eksempel 00000012.jpg).

    Konklusjon

    I vårt hurtige lekeeksempel kunne TestDisk gjenopprette to slettede partisjoner, og PhotoRec og Foremost kunne gjenopprette alle 20 slettede bilder. Scalpel gjenvunnet mesteparten av filene, men det er veldig sannsynlig at å spille med kommandolinjemuligheter for skalpell ville ha gjort det mulig for oss å gjenopprette alle 20 bildene.

    Disse verktøyene er livreddere når noe går galt med harddisken din. Hvis dataene er på harddisken et sted, vil et av disse verktøyene spore det ned!

    Gjenopprett filer med skyggekopier på hvilken som helst versjon av Windows Vista
    Gjenopprett tapte skjemadata i Firefox
    Ta opp videoer på skrivebordet ditt på hvilket som helst OS for gratis
    Neste artikkel
    Gjenopprett slettede filer på en NTFS-harddisk fra en Ubuntu Live CD
    Forrige artikkel
    Ta opp kommandolinjens økter med Asciinema