Atgūt datus kā kriminālistikas eksperts, izmantojot Ubuntu Live CD

2024 Autors: Geoffrey Carr | [email protected]. Pēdējoreiz modificēts: 2023-12-17 10:58

Atgūtos failus atgūst daudz utilītu, bet, ja nevarat palaist datoru vai visu disku ir formatēts? Mēs parādīsim dažus instrumentus, kas rakt dziļi un atgūt visefektīvākos izdzēstos failus vai pat cietā diska nodalījumus.

Mēs parādījām vienkāršus veidus, kā atgūt nejauši izdzēstos failus, pat vienkāršu metodi, ko var izdarīt no Ubuntu Live kompaktdiska, bet cietajiem diskiem, kas ir bijuši ļoti bojāti, šīs metodes to nedara. Šajā rakstā mēs izpētīsim četrus rīkus, kas var atgūt datus no visvairāk satricinātajiem cietajiem diskiem, neatkarīgi no tā, vai tie ir formatēti datoram Windows, Linux vai Mac, vai arī, ja partition table ir pilnībā izdzēsta.

Piezīme: šie rīki nevar atgūt datus, kas ir pārrakstīti uz cietā diska. Tas, vai svītrots fails ir pārrakstīts, ir atkarīgs no daudziem faktoriem - jo ātrāk jūs saprotat, ka vēlaties atgūt failu, jo vairāk jūs varat to izdarīt.

Mūsu iestatīšana

Lai parādītu šos rīkus, mēs esam izveidojuši nelielu 1 GB cieto disku, no kura puse ir sadalīta kā ext2, kas ir Linux sistēmā izmantota failu sistēma, un puse no vietas ir sadalīta kā FAT32, kas ir vecākajās Windows sistēmās izmantota failu sistēma. Katrā cietajā diskā mēs saglabājām desmit nejauši attēlus.

Tad mēs izdzēsām partition table no cietā diska, izdzēšot starpsienas pārlūkprogrammā GParted.

Instrumentu uzstādīšana

Visi līdzekļi, kurus mēs izmantosim, ir Ubuntu visums krātuve.

Lai iespējotu glabātuvi, atveriet Synaptic Package Manager, augšējā kreisajā stūrī noklikšķinot uz System (Sistēma) un pēc tam Administration (Administrēšana)> Synaptic Package Manager (Sinhaptikas pakotņu pārvaldnieks).

Noklikšķiniet uz Iestatījumi> Repozitorijas un pievienojiet atzīmi lodziņā ar nosaukumu "Kopienā uzturēta Open Source programmatūra (visums)".

Noklikšķiniet uz Aizvērt un pēc tam galvenajā Synaptic Package Manager logā noklikšķiniet uz pogas Pārlādēt. Kad pakešu saraksts ir pārkrauts un meklēšanas indekss ir pārbūvēts, meklēt un atzīmēt instalēšanu vienu vai visus no šiem paketēm: testa disks, pirmām kārtām, un skalpelis.

Testdisk ietver TestDisk, kas var atgūt zaudētās starpsienas un remonta sāknēšanas sektorus, kā arī PhotoRec, kas var atgūt daudz dažādu failu tipus no dažādu failu sistēmu tonnām.

Galvenais, ko sākotnēji izstrādāja ASV Gaisa spēku speciālo izmeklēšanas birojs, atgūst failus, pamatojoties uz to galvenēm un citām iekšējām struktūrām. Pārsvarā darbojas cietais disks vai diska attēlu faili, ko ģenerē dažādi rīki.

Visbeidzot, skalpelis veic tās pašas funkcijas galvenokārt, bet ir vērsta uz uzlabotu veiktspēju un mazāku atmiņas izmantošanu. Skalpelis var darboties labāk, ja jums ir vecāka mašīna ar mazāku RAM.

Atgūt cieto disku starpsienas

Ja nevarat uzstādīt cieto disku, tad tā nodalījuma galds var būt bojāts. Pirms sākat mēģināt atgūt svarīgos failus, diskā var būt iespējams atgūt vienu vai vairākus nodalījumus, visu procesu atjaunojot vienā solī.

Testdisk ir darba rīks. Sāciet to, atverot termināli (Applications> Accessories> Terminal) un ievadot:


sudo testdisk

Ja vēlaties, varat izveidot žurnāla failu, taču tas neietekmēs to, cik daudz datu jūs atjaunojat. Kad esat izdarījis izvēli, jūs sagaidīsiet ar ierīcē esošo datu nesēju sarakstu. Jums vajadzētu būt iespējai identificēt cieto disku, no kura vēlaties atgūt starpsienas pēc tā lieluma un etiķetes.

TestDisk lūdz jums izvēlēties pārseguma tabulas veidu, lai meklētu. Vairumā gadījumu (ext2 / 3, NTFS, FAT32 utt.) Jums vajadzētu izvēlēties Intel un nospiest Enter.

Mūsu gadījumā mūsu mazais cietais disks iepriekš ir formatēts kā NTFS. Pārsteidzoši, TestDisk atrod šo nodalījumu, taču to nevar atgūt.

Tajā ir arī atrodami divi nodalījumi, kurus tikko dzēsuši. Mēs varam mainīt savus atribūtus vai pievienot vairāk nodalījumu, taču mēs tos vienkārši atjaunosim, nospiežot Enter.

Ja TestDisk nav atradis visus jūsu nodalījumus, varat mēģināt veikt dziļāku meklēšanu, izvēloties šo opciju ar kreiso un labo bulttaustiņu palīdzību. Mums bija tikai šie divi nodalījumi, tāpēc mēs tos atjaunojam, atlasot Rakstīt un nospiežot Enter.

Testdisk informē mūs, ka mums būs jāpārstartē.

Piezīme. Ja jūsu Ubuntu Live kompaktdisks nav noturīgs, tad, kad jūs no jauna restartējat, būs jāpārinstalē visi iepriekš instalētie rīki.

Pēc restartēšanas abas mūsu starpsienas atgriežas sākotnējos stāvokļos, bildēs un visos.

Atsevišķu veidu faili

Tālākos piemērus mēs izdzēsām 10 attēlus no abām starpsienām un pēc tam pārveidojām.

PhotoRec

No trim rīkiem mēs parādīsim PhotoRec ir lietotājdraudzīgākais, neraugoties uz konsoles lietderību. Lai sāktu failu atkopšanu, atveriet terminālu (Applications> Accessories> Terminal) un ierakstiet:


sudo photorec

Lai sāktu, jums tiek lūgts izvēlēties meklētās atmiņas ierīci. Jums vajadzētu būt iespējai identificēt pareizo ierīci pēc tās lieluma un etiķetes. Izvēlieties pareizo ierīci un pēc tam nospiediet Enter.

PhotoRec lūdz jums izvēlēties meklējamā nodalījuma veidu. Vairumā gadījumu (ext2 / 3, NTFS, FAT utt.) Jums vajadzētu izvēlēties Intel un nospiest Enter.

Jums tiek norādīts atlasītā cietā diska nodalījumu saraksts.Ja jūs vēlaties atgūt visus failus partition, tad izvēlieties Search un nospiediet enter.

Tomēr šis process var būt ļoti lēns, un mūsu gadījumā mēs tikai vēlamies meklēt attēlus failus, tāpēc mēs izmantojam labo bultiņu taustiņu, lai izvēlētos failu opciju un nospiediet taustiņu Enter.

PhotoRec var atgūt daudz dažādu failu tipu, un noņemšana no katras no tām ir ilgs laiks. Tā vietā nospiediet "s", lai notīrītu visas atlases, un pēc tam atrodiet atbilstošos failu tipus - jpg, gif un png - un atlasiet tos, nospiežot labo bultiņu taustiņu.

Kad mēs esam atlasījuši šos trīs, mēs nospiedīsim "b", lai saglabātu šīs izvēles iespējas.

Nospiediet enter, lai atgrieztos cieto disku nodalījumu sarakstā. Mēs vēlamies meklēt abus mūsu nodalījumus, tāpēc mēs izceļam "No partition" un "Search" un pēc tam nospiediet Enter.

PhotoRec piedāvā atrašanās vietu, kur saglabāt atgūtos failus. Ja jums ir cits veselīgs cietais disks, tad ieteicams tajā saglabāt atgūtos failus. Tā kā mēs neatgūstam ļoti daudz, mēs to saglabāsim Ubuntu Live kompaktdiska galddatorā.

Piezīme: neatkopiet failus uz cieto disku, no kura jūs atgūstat.

PhotoRec spēj atgūt 20 attēlus no mūsu cietā diska nodalījumiem!

Ātri apskatītais katalogs recup dir.1 apstiprina, ka PhotoRec ir atguvusies visiem mūsu attēliem, izņemot failu nosaukumus.

Galvenais

Galvenokārt ir komandrindas programma bez interaktīvas saskarnes, piemēram, PhotoRec, bet piedāvā vairākas komandrindas opcijas, lai iegūtu pēc iespējas vairāk datu no jūsu diska.

Lai iegūtu pilnu sarakstu ar opcijām, kuras var pielāgot, izmantojot komandrindu, atveriet termināli (Applications> Accessories> Terminal) un ierakstiet:


foremost –h

Mūsu gadījumā komandrindas opcijas, kuras mēs gatavojamies izmantot, ir šādas:

-t, ar komatu atdalītu sarakstu failu tipu meklēšanai. Mūsu gadījumā tas ir "jpeg, png, gif".
-v, kas ļauj verbose režīmā, dodot mums vairāk informācijas par to, kas visvairāk dara.
-o, izvades mape, kurā tiek glabāti atgūtie faili. Mūsu gadījumā mēs izveidojām direktoriju ar nosaukumu "foremost" uz darbvirsmas.
-i, ievade, kurā tiks meklēti faili. Tas var būt diska attēls vairākos dažādos formātos; Tomēr mēs izmantosim cieto disku, / dev / sda.

Mūsu galvenais aicinājums ir:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Jūsu piesaiste atšķiras atkarībā no tā, ko jūs meklējat un kur jūs to meklējat.

Galvenokārt ir iespējams atgūt 17 no 20 failiem, kas tiek saglabāti cietajā diskā.

Aplūkojot failus, mēs varam apstiprināt, ka šie faili tika salīdzināti labi atjaunoti, lai gan mēs redzam dažas kļūdas 00622449.jpg sīktēlā.

Daļa no tā var būt saistīta ar ext2 failu sistēmu. Ieteicams izmantot -d komandrindas opciju Linux failu sistēmām, piemēram, ext2.

Mēs vispirms atkal darbosies, pievienojot -d komandrindas opciju mūsu galvenajam aicinājumam:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Šoreiz vispirms ir iespējams atgūt visus 20 attēlus!

Pēdējais skatījums uz attēliem atklāj, ka bildes tika atgūtas bez problēmām.

Skalpe

Skalpe ir vēl viena spēcīga programma, kas, tāpat kā Foremost, ir ļoti konfigurējama. Atšķirībā no Foremost, pirms jebkāda datu atgūšanas mēģinājuma Scalpel prasa jums rediģēt konfigurācijas failu.

Jebkurš teksta redaktors darīs, bet mēs izmantosim Gedit, lai mainītu konfigurācijas failu. Termināla logā (Programmas> Piederumi> Terminālis) ievadiet:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf satur informāciju par vairākiem dažādiem failu tipiem. Ritiniet šo failu un pievienojiet rindas, kuras sākas ar faila tipu, kuru vēlaties atkopt (piemēram, noņemiet "#" rakstzīmi šo rindiņu sākumā).

Saglabājiet failu un aizveriet to. Atgriezties termināla logā.

Skalpelim ir arī tonnas komandrindas opcijas, kas var palīdzēt jums ātri un efektīvi meklēt; Tomēr mēs vienkārši definēsim ievades ierīci (/ dev / sda) un izvades mapi (mapi ar nosaukumu "skalpelis", ko mēs izveidojām darbvirsmā).

Mūsu aicinājums ir:


sudo scalpel /dev/sda –o scalpel

Scalpel spēj atgūt 18 no mūsu 20 failiem.

Ātri apskatot atgūto skalpeļu failus, tiek atklāts, ka lielākā daļa mūsu failu tika veiksmīgi atjaunoti, lai gan radās dažas problēmas (piem., 00000012.jpg).

Secinājums

Mūsu ātrās rotaļlietas piemērā TestDisk varēja atjaunot divas dzēstās starpsienas, un PhotoRec un Foremost spēja atgūt visus 20 izdzēstos attēlus. Skalpeļi atgūst lielāko daļu failu, taču ir ļoti iespējams, ka, spēlējot ar skapelim paredzētās komandrindas opcijas, mēs varētu atgūt visus 20 attēlus.

Šie rīki ir lifesavers, ja kaut kas noiet greizi no cietā diska. Ja jūsu dati ir uz cietā diska kaut kur, tad viens no šiem instrumentiem izsekos to!