Trang chủ » làm thế nào để » Phục hồi dữ liệu như một chuyên gia pháp y bằng cách sử dụng đĩa CD Ubuntu Live

    Phục hồi dữ liệu như một chuyên gia pháp y bằng cách sử dụng đĩa CD Ubuntu Live

    Có rất nhiều tiện ích để khôi phục các tệp đã bị xóa, nhưng nếu bạn không thể khởi động máy tính của mình hoặc toàn bộ ổ đĩa đã được định dạng thì sao? Chúng tôi sẽ chỉ cho bạn một số công cụ sẽ đào sâu và khôi phục các tệp bị xóa khó nắm bắt nhất hoặc thậm chí toàn bộ phân vùng ổ cứng.

    Chúng tôi đã chỉ cho bạn các cách đơn giản để khôi phục các tệp vô tình bị xóa, ngay cả một phương pháp đơn giản có thể được thực hiện từ Ubuntu Live CD, nhưng đối với các đĩa cứng bị hỏng nặng, các phương pháp đó sẽ không cắt được. Trong bài viết này, chúng tôi sẽ kiểm tra bốn công cụ có thể khôi phục dữ liệu từ các ổ đĩa cứng bị rối nhất, bất kể chúng được định dạng cho máy tính Windows, Linux hoặc Mac hay thậm chí nếu bảng phân vùng bị xóa hoàn toàn.

    Lưu ý: Những công cụ này không thể khôi phục dữ liệu đã bị ghi đè trên đĩa cứng. Việc một tập tin bị xóa có bị ghi đè hay không phụ thuộc vào nhiều yếu tố - bạn càng nhanh chóng nhận ra rằng bạn muốn khôi phục một tập tin, bạn càng có khả năng làm điều đó.

    Thiết lập của chúng tôi

    Để hiển thị các công cụ này, chúng tôi đã thiết lập một ổ cứng nhỏ 1 GB, với một nửa dung lượng được phân vùng là ext2, một hệ thống tệp được sử dụng trong Linux và một nửa không gian được phân vùng là FAT32, một hệ thống tệp được sử dụng trong các hệ thống Windows cũ. Chúng tôi lưu trữ mười hình ảnh ngẫu nhiên trên mỗi ổ cứng.

    Sau đó chúng tôi xóa bảng phân vùng khỏi ổ cứng bằng cách xóa các phân vùng trong GParted.

    Là dữ liệu của chúng tôi bị mất mãi mãi?

    Cài đặt công cụ

    Tất cả các công cụ chúng tôi sẽ sử dụng đều có trong Ubuntu vũ trụ kho.

    Để bật kho lưu trữ, hãy mở Trình quản lý gói Synaptic bằng cách nhấp vào Hệ thống ở góc trên bên trái, sau đó Quản trị> Trình quản lý gói Synaptic.

    Nhấp vào Cài đặt> Kho lưu trữ và thêm một kiểm tra vào hộp có nhãn Phần mềm nguồn mở (vũ trụ) do Cộng đồng duy trì.

    Bấm Đóng, rồi trong cửa sổ Trình quản lý gói Synaptic chính, bấm nút Tải lại. Khi danh sách gói đã được tải lại và chỉ mục tìm kiếm được xây dựng lại, tìm kiếm và đánh dấu để cài đặt một hoặc tất cả các gói sau: kiểm tra, quan trọng nhất, và dao mổ.

    Thử nghiệm bao gồm TestDisk, có thể khôi phục các phân vùng bị mất và sửa chữa các phần khởi động và PhotoRec, có thể khôi phục nhiều loại tệp khác nhau từ hàng tấn hệ thống tệp khác nhau.

    Đầu tiên, ban đầu được phát triển bởi Văn phòng Điều tra Đặc biệt của Không quân Hoa Kỳ, phục hồi các tệp dựa trên các tiêu đề của họ và các cấu trúc bên trong khác. Foremost hoạt động trên ổ đĩa cứng hoặc ổ đĩa hình ảnh được tạo bởi các công cụ khác nhau.

    Cuối cùng, dao mổ thực hiện các chức năng tương tự như trước hết, nhưng tập trung vào hiệu năng nâng cao và sử dụng bộ nhớ thấp hơn. Scalpel có thể chạy tốt hơn nếu bạn có một máy cũ hơn với ít RAM hơn.

    Khôi phục phân vùng ổ cứng

    Nếu bạn không thể gắn ổ cứng, thì bảng phân vùng của nó có thể bị hỏng. Trước khi bạn bắt đầu cố gắng khôi phục các tệp quan trọng của mình, có thể khôi phục một hoặc nhiều phân vùng trên ổ đĩa của bạn, khôi phục tất cả các tệp của bạn bằng một bước.

    Thử nghiệm là công cụ cho công việc. Bắt đầu bằng cách mở một thiết bị đầu cuối (Ứng dụng> Phụ kiện> Thiết bị đầu cuối) và nhập vào:

    kiểm tra sudo

    Nếu bạn muốn, bạn có thể tạo một tệp nhật ký, mặc dù nó sẽ không ảnh hưởng đến lượng dữ liệu bạn phục hồi. Khi bạn chọn, bạn sẽ được chào đón với một danh sách các phương tiện lưu trữ trên máy của bạn. Bạn sẽ có thể xác định ổ đĩa cứng bạn muốn khôi phục phân vùng theo kích thước và nhãn của nó.

    TestDisk yêu cầu bạn chọn loại bảng phân vùng để tìm kiếm. Trong hầu hết các trường hợp (ext2 / 3, NTFS, FAT32, v.v.), bạn nên chọn Intel và nhấn Enter.

    Đánh dấu Phân tích và nhấn enter.

    Trong trường hợp của chúng tôi, ổ cứng nhỏ của chúng tôi trước đây đã được định dạng là NTFS. Thật ngạc nhiên, TestDisk tìm thấy phân vùng này, mặc dù không thể khôi phục nó.

    Nó cũng tìm thấy hai phân vùng chúng ta vừa xóa. Chúng tôi có thể thay đổi thuộc tính của họ hoặc thêm nhiều phân vùng, nhưng chúng tôi sẽ khôi phục chúng bằng cách nhấn Enter.

    Nếu TestDisk chưa tìm thấy tất cả các phân vùng của bạn, bạn có thể thử thực hiện tìm kiếm sâu hơn bằng cách chọn tùy chọn đó bằng các phím mũi tên trái và phải. Chúng tôi chỉ có hai phân vùng này, vì vậy chúng tôi sẽ khôi phục chúng bằng cách chọn Viết và nhấn Enter.

    Testdisk thông báo cho chúng tôi rằng chúng tôi sẽ phải khởi động lại.

    Lưu ý: Nếu Ubuntu Live CD của bạn không liên tục, thì khi bạn khởi động lại, bạn sẽ phải cài đặt lại bất kỳ công cụ nào bạn đã cài đặt trước đó.

    Sau khi khởi động lại, cả hai phân vùng của chúng tôi đều trở về trạng thái ban đầu, hình ảnh và tất cả.

    Khôi phục tập tin của một số loại

    Đối với các ví dụ sau, chúng tôi đã xóa 10 ảnh từ cả hai phân vùng và sau đó định dạng lại chúng.

    PhotoRec

    Trong ba công cụ chúng tôi sẽ trình bày, PhotoRec là thân thiện với người dùng nhất, mặc dù là một tiện ích dựa trên bảng điều khiển. Để bắt đầu khôi phục tập tin, hãy mở một thiết bị đầu cuối (Ứng dụng> Phụ kiện> Thiết bị đầu cuối) và nhập:

    sudo photorec

    Để bắt đầu, bạn được yêu cầu chọn một thiết bị lưu trữ để tìm kiếm. Bạn sẽ có thể xác định đúng thiết bị theo kích thước và nhãn của nó. Chọn đúng thiết bị và sau đó nhấn Enter.

    PhotoRec yêu cầu bạn chọn loại phân vùng để tìm kiếm. Trong hầu hết các trường hợp (ext2 / 3, NTFS, FAT, v.v.), bạn nên chọn Intel và nhấn Enter.

    Bạn được cung cấp một danh sách các phân vùng trên ổ cứng đã chọn của bạn. Nếu bạn muốn khôi phục tất cả các tệp trên một phân vùng, sau đó chọn Tìm kiếm và nhấn enter.

    Tuy nhiên, quá trình này có thể rất chậm và trong trường hợp của chúng tôi, chúng tôi chỉ muốn tìm kiếm tệp ảnh, vì vậy thay vào đó chúng tôi sử dụng phím mũi tên phải để chọn File Opt và nhấn Enter.

    PhotoRec có thể khôi phục nhiều loại tệp khác nhau và việc bỏ chọn từng loại sẽ mất nhiều thời gian. Thay vào đó, chúng tôi nhấn vào Sv để xóa tất cả các lựa chọn và sau đó tìm các loại tệp thích hợp - jpg, gif và png - và chọn chúng bằng cách nhấn phím mũi tên phải.

    Khi chúng tôi đã chọn ba mục này, chúng tôi nhấn vào ứng dụng bv để lưu các lựa chọn này.

    Nhấn Enter để trở về danh sách các phân vùng ổ cứng. Chúng tôi muốn tìm kiếm cả hai phân vùng của mình, vì vậy chúng tôi nhấn mạnh phân vùng Không có phân vùng và Tìm kiếm trực tuyến và sau đó nhấn Enter.

    PhotoRec nhắc nhở một vị trí để lưu trữ các tệp đã phục hồi. Nếu bạn có một ổ cứng khỏe mạnh khác, thì chúng tôi khuyên bạn nên lưu trữ các tệp đã được phục hồi ở đó. Vì chúng tôi không phục hồi nhiều, chúng tôi sẽ lưu trữ nó trên máy tính để bàn của Ubuntu Live CD.

    Lưu ý: Không khôi phục tệp vào ổ cứng bạn đang khôi phục từ.

    PhotoRec có thể khôi phục 20 ảnh từ các phân vùng trên ổ cứng của chúng tôi!

    Một cái nhìn nhanh trong thư mục recup_dir.1 mà nó tạo ra xác nhận rằng PhotoRec đã khôi phục tất cả các hình ảnh của chúng tôi, lưu lại cho tên tệp.

    Đầu tiên

    Foremost là một chương trình dòng lệnh không có giao diện tương tác như PhotoRec, nhưng cung cấp một số tùy chọn dòng lệnh để lấy càng nhiều dữ liệu ra khỏi ổ đĩa của bạn càng tốt.

    Để có danh sách đầy đủ các tùy chọn có thể được điều chỉnh thông qua dòng lệnh, hãy mở một thiết bị đầu cuối (Ứng dụng> Phụ kiện> Thiết bị đầu cuối) và nhập:

    quan trọng nhất

    Trong trường hợp của chúng tôi, các tùy chọn dòng lệnh mà chúng tôi sẽ sử dụng là:

    • -t, một danh sách các loại tệp được phân tách bằng dấu phẩy để tìm kiếm. Trong trường hợp của chúng tôi, đây là jpeg jpeg, png, gif.
    • -v, bật chế độ dài dòng, cung cấp cho chúng tôi thêm thông tin về những gì quan trọng nhất đang làm.
    • -o, thư mục đầu ra để lưu trữ các tệp đã khôi phục. Trong trường hợp của chúng tôi, chúng tôi đã tạo một thư mục có tên là for forostost trên máy tính để bàn.
    • -i, đầu vào sẽ được tìm kiếm cho các tập tin. Đây có thể là một hình ảnh đĩa trong một số định dạng khác nhau; tuy nhiên, chúng tôi sẽ sử dụng đĩa cứng, / dev / sda.

    Lời mời đầu tiên của chúng tôi là:

    sudo đầu tiên -t jpeg, png, gif -o đầu tiên -v -i / dev / sda

    Lời mời của bạn sẽ khác nhau tùy thuộc vào những gì bạn đang tìm kiếm và nơi bạn đang tìm kiếm nó.

    Trước hết có thể khôi phục 17 trong số 20 tệp được lưu trữ trên ổ cứng.

    Nhìn vào các tệp, chúng tôi có thể xác nhận rằng các tệp này đã được phục hồi tương đối tốt, mặc dù chúng tôi có thể thấy một số lỗi trong hình thu nhỏ cho 00622449.jpg.

    Một phần của điều này có thể là do hệ thống tập tin ext2. Foremost khuyên bạn nên sử dụng tùy chọn dòng lệnh -d cho các hệ thống tệp Linux như ext2.

    Chúng tôi sẽ chạy lại lần đầu tiên, thêm tùy chọn dòng lệnh -d vào lệnh gọi đầu tiên của chúng tôi:

    sudo foremost -t jpeg, png, gif -d -o foremost -v -i / dev / sda

    Lần này, trước hết có thể khôi phục tất cả 20 hình ảnh!

    Một cái nhìn cuối cùng về các bức ảnh cho thấy rằng những bức ảnh đã được phục hồi mà không có vấn đề gì.

    Dao mổ

    Scalpel là một chương trình mạnh mẽ khác, giống như Foremost, có cấu hình rất cao. Không giống như Foremost, Scalpel yêu cầu bạn chỉnh sửa tệp cấu hình trước khi thử phục hồi dữ liệu.

    Bất kỳ trình soạn thảo văn bản nào cũng được, nhưng chúng tôi sẽ sử dụng gedit để thay đổi tệp cấu hình. Trong cửa sổ đầu cuối (Ứng dụng> Phụ kiện> Thiết bị đầu cuối), nhập:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf chứa thông tin về một số loại tệp khác nhau. Cuộn qua tệp này và các dòng không ghi chú bắt đầu bằng loại tệp mà bạn muốn khôi phục (nghĩa là xóa ký tự # # ở đầu dòng đó).

    Lưu file và đóng nó lại. Quay trở lại cửa sổ terminal.

    Scalpel cũng có rất nhiều tùy chọn dòng lệnh có thể giúp bạn tìm kiếm nhanh chóng và hiệu quả; tuy nhiên, chúng tôi sẽ chỉ xác định thiết bị đầu vào (/ dev / sda) và thư mục đầu ra (một thư mục có tên là da đầu da đen mà chúng tôi đã tạo trên máy tính để bàn).

    Yêu cầu của chúng tôi là:

    dao mổ sudo / dev / sda -o dao mổ

    Scalpel có thể khôi phục 18 trong số 20 tệp của chúng tôi.

    Nhìn nhanh vào các tệp dao mổ được phục hồi cho thấy hầu hết các tệp của chúng tôi đã được khôi phục thành công, mặc dù có một số vấn đề (ví dụ: 00000012.jpg).

    Phần kết luận

    Trong ví dụ về đồ chơi nhanh của chúng tôi, TestDisk đã có thể khôi phục hai phân vùng đã xóa và PhotoRec và Foremost có thể khôi phục tất cả 20 hình ảnh đã bị xóa. Scalpel đã phục hồi hầu hết các tệp, nhưng rất có thể việc chơi với các tùy chọn dòng lệnh cho dao mổ sẽ cho phép chúng tôi khôi phục tất cả 20 hình ảnh.

    Những công cụ này là cứu cánh khi có sự cố với ổ cứng của bạn. Nếu dữ liệu của bạn nằm trên ổ cứng ở đâu đó, thì một trong những công cụ này sẽ theo dõi nó!