Hjemmeside » hvordan » Gendan data som en retsmedicinsk ekspert ved hjælp af en Ubuntu Live CD

    Gendan data som en retsmedicinsk ekspert ved hjælp af en Ubuntu Live CD

    Der er masser af værktøjer til at gendanne slettede filer, men hvad hvis du ikke kan starte din computer, eller hele drevet er blevet formateret? Vi viser dig nogle værktøjer, der vil grave dybt og gendanne de mest uhyggelige slettede filer eller endda hele harddiskpartitioner.

    Vi har vist dig enkle måder at gendanne utilsigtet slettede filer, selv en simpel metode, der kan gøres fra en Ubuntu Live CD, men for harddiske, der har været stærkt beskadiget, vil disse metoder ikke skære det. I denne artikel undersøger vi fire værktøjer, der kan gendanne data fra de mest messed up-harddiske, uanset om de blev formateret til en Windows-, Linux- eller Mac-computer, eller selvom partitionstabellen er helt udslettet.

    Bemærk! Disse værktøjer kan ikke gendanne data, der er overskrevet på en harddisk. Uanset om en slettet fil er overskrevet, afhænger af mange faktorer - jo hurtigere er du klar over, at du vil genoprette en fil, desto mere sandsynligt vil du være i stand til at gøre det.

    Vores opsætning

    For at vise disse værktøjer har vi oprettet en lille 1 GB harddisk, hvor halvdelen af ​​rummet er delt op som ext2, et filsystem, der bruges i Linux, og halvdelen af ​​pladsen er delt som FAT32, et filsystem, der bruges i ældre Windows-systemer. Vi lagrede ti tilfældige billeder på hver harddisk.

    Vi tørrede så partitionstabellen fra harddisken ved at slette partitionerne i GParted.

    Er vores data tabt for evigt?

    Installation af værktøjerne

    Alle de værktøjer, vi skal bruge, er i Ubuntu's univers repository.

    For at aktivere depotet skal du åbne Synaptic Package Manager ved at klikke på System øverst til venstre og derefter Administration> Synaptic Package Manager.

    Klik på Indstillinger> Opbevaringssteder og tilføj en afkrydsningsfelt i feltet med "Community-maintained Open Source-software (universe)".

    Klik på Luk, og klik derefter på knappen Reload i hovedvinduet i Synaptic Package Manager. Når pakkelisten er genindlæst, og søgeindekset genopbygges, skal du søge efter og markere for installation en eller alle følgende pakker: TestDisk, fremmest, og skalpel.

    TestDisk inkluderer TestDisk, som kan gendanne tabte partitioner og reparere boot sektorer, og PhotoRec, som kan gendanne mange forskellige typer filer fra tonsvis af forskellige filsystemer.

    fremmest, oprindeligt udviklet af US Air Force Office of Special Investigations, genopretter filer baseret på deres overskrifter og andre interne strukturer. For det meste fungerer på harddiske eller drev billedfiler genereret af forskellige værktøjer.

    Langt om længe, skalpel udfører de samme funktioner som først og fremmest, men er fokuseret på forbedret ydelse og lavere hukommelsesforbrug. Scalpel kan køre bedre, hvis du har en ældre maskine med mindre RAM.

    Gendan harddiskpartitioner

    Hvis du ikke kan montere harddisken, kan partitionstabellen blive beskadiget. Før du begynder at forsøge at gendanne dine vigtige filer, kan det være muligt at gendanne en eller flere partitioner på dit drev, at genoprette alle dine filer med et skridt.

    TestDisk er værktøjet til jobbet. Start det ved at åbne en terminal (Applikationer> Tilbehør> Terminal) og indtaste:

    sudo testdisk

    Hvis du vil, kan du oprette en logfil, selvom det ikke vil påvirke, hvor mange data du gendanner. Når du har valgt dit valg, bliver du mødt med en liste over lagermedier på din maskine. Du skal være i stand til at identificere harddisken, du vil gendanne partitioner fra, efter størrelse og etiket.

    TestDisk spørger dig om, hvilken type partitionstabel der skal søges efter. I de fleste tilfælde (ext2 / 3, NTFS, FAT32 osv.) Skal du vælge Intel og trykke på Enter.

    Fremhæv Analyser og tryk enter.

    I vores tilfælde er vores lille harddisk tidligere formateret som NTFS. Forbløffende finder TestDisk denne partition, selvom den ikke kan genoprette den.

    Det finder også de to partitioner, vi lige har slettet. Vi kan ændre deres attributter eller tilføje flere partitioner, men vi vil bare gendanne dem ved at trykke på Enter.

    Hvis TestDisk ikke har fundet alle dine partitioner, kan du forsøge at gøre en dybere søgning ved at vælge denne mulighed med venstre og højre piletaster. Vi havde kun disse to partitioner, så vi vil gendanne dem ved at vælge Skriv og trykke på Enter.

    Testdisken informerer os om, at vi bliver nødt til at genstarte.

    Bemærk: Hvis din Ubuntu Live CD ikke er vedvarende, skal du geninstallere de værktøjer, du tidligere har installeret, når du genstarter..

    Efter genstart er begge vores partitioner tilbage til deres originale tilstande, billeder og alle.

    Gendan filer af bestemte typer

    I de følgende eksempler slettet vi de 10 billeder fra begge partitioner og formaterede dem derefter.

    PhotoRec

    Af de tre værktøjer vi viser, PhotoRec er den mest brugervenlige, på trods af at det er en konsolbaseret hjælpeprogram. For at starte genoprettelse af filer skal du åbne en terminal (Applikationer> Tilbehør> Terminal) og indtaste:

    sudo photorec

    Til at begynde med bliver du bedt om at vælge en lagerenhed, der skal søges. Du skal kunne identificere den rigtige enhed ved hjælp af størrelse og etiket. Vælg den rigtige enhed, og tryk derefter på Enter.

    PhotoRec beder dig vælge den type partition, der skal søges. I de fleste tilfælde (ext2 / 3, NTFS, FAT osv.) Skal du vælge Intel og trykke på Enter.

    Du får en liste over partitionerne på den valgte harddisk. Hvis du vil gendanne alle filerne på en partition, skal du vælge Søg og trykke på Enter.

    Denne proces kan dog være meget langsom, og i vores tilfælde ønsker vi kun at søge efter billedfiler, så i stedet bruger vi den højre piletast til at vælge File Opt og trykker Enter.

    PhotoRec kan gendanne mange forskellige typer filer, og fjernelse af hver enkelt vil tage lang tid. I stedet trykker vi på "s" for at slette alle markeringer, og find derefter de relevante filtyper - jpg, gif og png - og vælg dem ved at trykke på højre piletast.

    Når vi har valgt disse tre, trykker vi på "b" for at gemme disse valg.

    Tryk på enter for at vende tilbage til listen over harddiskpartitioner. Vi ønsker at søge begge vores partitioner, så vi fremhæver "Ingen partition" og "Søg", og tryk derefter på Enter.

    PhotoRec beder om et sted at gemme de genoprettede filer. Hvis du har en anden sund harddisk, anbefales det at gemme de genoprettede filer der. Da vi ikke gendanner meget, lagrer vi det på Ubuntu Live CD's skrivebord.

    Bemærk: Gendan ikke filer til harddisken, du genopretter.

    PhotoRec kan gendanne de 20 billeder fra partitionerne på vores harddisk!

    Et hurtigt kig i den recup_dir.1-mappe, den opretter, bekræfter, at PhotoRec har gendannet alle vores billeder, gem til filnavne.

    fremmest

    Fremtrædende er et kommandolinjeprogram uden interaktiv grænseflade som PhotoRec, men tilbyder en række kommandolinjeindstillinger for at få så meget data ud af dit drev som muligt..

    For en komplet liste over muligheder, der kan tweaked via kommandolinjen, skal du åbne en terminal (Programmer> Tilbehør> Terminal) og indtaste:

    først og fremmest -h

    I vores tilfælde er kommandolinjeindstillingerne, som vi skal bruge,:

    • -t, en kommasepareret liste over typer filer, der skal søges efter. I vores tilfælde er dette "jpeg, png, gif".
    • -v, der muliggør verbose-tilstand, hvilket giver os flere oplysninger om, hvad der foregår mest.
    • -o, output-mappen til at gemme inddrevne filer. I vores tilfælde har vi oprettet en mappe kaldet "fremmest" på skrivebordet.
    • -Jeg, det input, der vil blive søgt efter filer. Dette kan være et diskbillede i flere forskellige formater; Vi bruger dog en harddisk, / dev / sda.

    Vores fremste påkaldelse er:

    sudo fremmest -t jpeg, png, gif -o fremtrædende -v -i / dev / sda

    Din opfordring vil variere afhængigt af, hvad du leder efter, og hvor du søger efter det.

    Først er det muligt at gendanne 17 af de 20 filer, der er gemt på harddisken.

    Når vi kigger på filerne, kan vi bekræfte, at disse filer blev genoprettet forholdsvis godt, selv om vi kan se nogle fejl i miniaturebilledet for 00622449.jpg.

    En del af dette skyldes ekst2-filsystemet. Først anbefaler vi at bruge kommandolinjen -d til Linux filsystemer som ext2.

    Vi kører først og fremmest og tilføjer kommandolinjen -d til vores fremtrædende invokation:

    sudo fremmest -t jpeg, png, gif -d -o fremtrædende -v -i / dev / sda

    Denne gang er det først og fremmest muligt at gendanne alle 20 billeder!

    Et sidste kig på billederne viser, at billederne blev genoprettet uden problemer.

    skalpel

    Scalpel er et andet kraftigt program, der som Foremost er stærkt konfigurerbart. Til forskel fra først og fremmest kræver Scalpel dig at redigere en konfigurationsfil, før du forsøger at genoprette data.

    Enhver teksteditor vil gøre, men vi bruger gedit til at ændre konfigurationsfilen. Indtast i et terminalvindue (Programmer> Tilbehør> Terminal):

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf indeholder oplysninger om en række forskellige filtyper. Rul gennem denne fil og ikke-kommende linjer, der starter med en filtype, som du vil gendanne (dvs. fjern "tegn" i begyndelsen af ​​disse linjer).

    Gem filen og luk den. Gå tilbage til terminalvinduet.

    Scalpel har også masser af kommandolinjeindstillinger, der kan hjælpe dig med at søge hurtigt og effektivt; Vi definerer dog kun inputenheden (/ dev / sda) og output-mappen (en mappe kaldet "skalpel", som vi oprettede på skrivebordet).

    Vores opfordring er:

    sudo skalpellet / dev / sda -o skalpel

    Scalpel kan genoprette 18 af vores 20 filer.

    Et hurtigt kig på filerne, der blev udarbejdet, afslørede, at de fleste af vores filer blev genoprettet, selvom der var nogle problemer (f.eks. 00000012.jpg).

    Konklusion

    I vores hurtige legetøjseksempel var TestDisk i stand til at gendanne to slettede partitioner, og PhotoRec og Foremost kunne genoprette alle 20 slettede billeder. Scalpel genvundet de fleste af filerne, men det er meget sandsynligt, at afspilning med kommandolinjemuligheder for scalpel ville have gjort det muligt for os at gendanne alle 20 billeder.

    Disse værktøjer er livreddere, når noget går galt med din harddisk. Hvis dine data er på harddisken et sted, så vil et af disse værktøjer spore det ned!

    Gendan filer med skygge kopier på enhver version af Windows Vista
    Gendan tabt formulardata i Firefox
    Optag videoer af dit skrivebord på ethvert OS gratis
    Næste artikel
    Gendan slettede filer på en NTFS harddisk fra en Ubuntu Live CD
    Forrige artikel
    Optag dine kommandolinjessessioner med Asciinema