Domača » kako » Obnovi podatke kot forenzični strokovnjak z uporabo Ubuntu Live CD-ja

    Obnovi podatke kot forenzični strokovnjak z uporabo Ubuntu Live CD-ja

    Obstaja veliko pripomočkov za obnovitev izbrisanih datotek, toda kaj, če ne morete zagnati računalnika ali pa je bil celoten pogon formatiran? Pokazali vam bomo nekaj orodij, ki bodo globoko kopala in obnovila najbolj izmuzljive izbrisane datoteke ali celo celotne particije trdega diska.

    Pokazali smo vam preproste načine, kako obnoviti pomotoma izbrisane datoteke, tudi preprosto metodo, ki jo lahko naredite z Ubuntu Live CD-ja, vendar za trde diske, ki so močno poškodovani, te metode ne bodo zmanjšale. V tem članku bomo preučili štiri orodja, ki lahko obnovijo podatke iz najbolj zamočenih trdih diskov, ne glede na to, ali so bili oblikovani za računalnik z operacijskim sistemom Windows, Linux ali Mac, ali celo, če je tabela razdelkov popolnoma izbrisana..

    Opomba: Ta orodja ne morejo obnoviti podatkov, ki so bili prepisani na trdem disku. Ali je izbrisana datoteka prepisana, je odvisno od številnih dejavnikov - hitreje se zavedate, da želite obnoviti datoteko, večja je verjetnost, da boste to lahko storili..

    Naša namestitev

    Za prikaz teh orodij smo nastavili majhen trdi disk velikosti 1 GB, pri čemer je polovica prostora razdeljena kot ext2, datotečni sistem, ki se uporablja v Linuxu, in polovica prostora, razdeljenega na FAT32, datotečni sistem, ki se uporablja v starejših sistemih Windows. Na vsak trdi disk smo shranili deset naključnih slik.

    Nato smo izbrisali particijsko tabelo s trdega diska, tako da ste izbrisali particije v GParted.

    So naši podatki izgubljeni za vedno?

    Namestitev orodij

    Vsa orodja, ki jih bomo uporabili, so v Ubuntuju vesolje skladišče.

    Če želite omogočiti skladišče, odprite Synaptic Package Manager tako, da kliknete na System v zgornjem levem kotu, nato na Administration> Synaptic Package Manager..

    Kliknite Nastavitve> Skladišča in dodajte potrditveno polje v polje »Programska oprema za odprto kodo, ki jo vzdržuje Skupnost (vesolje)«.

    Kliknite Zapri in nato v glavnem oknu Synaptic Package Manager kliknite gumb Ponovno naloži. Ko je seznam paketov ponovno naložen, in iskalni indeks znova izdelan, poiščite in označite za namestitev enega ali vseh naslednjih paketov: testdisk, predvsem, in skalpel.

    Testdisk vključuje TestDisk, ki lahko obnovi izgubljene particije in popravi zagonske sektorje, ter PhotoRec, ki lahko obnovijo veliko različnih vrst datotek iz ton različnih datotečnih sistemov.

    Predvsem, prvotno ga je razvila Urad za posebne preiskave ameriških letalskih sil, ki si opomore datoteke na podlagi njihovih glav in drugih notranjih struktur. Predvsem deluje na trdih diskih ali poganja slikovne datoteke, ustvarjene z različnimi orodji.

    Končno, skalpel opravlja enake funkcije kot najbolj, vendar je osredotočen na izboljšano zmogljivost in manjšo porabo pomnilnika. Skalpel lahko deluje bolje, če imate starejši stroj z manj RAM-a.

    Obnovi particije na trdem disku

    Če trdega diska ne morete namestiti, je morda njena particijska tabela poškodovana. Preden začnete s poskusom obnovitve pomembnih datotek, je mogoče obnoviti eno ali več particij na vašem pogonu, tako da obnovite vse datoteke z enim korakom.

    Testdisk je orodje za delo. Zaženite ga tako, da odprete terminal (Aplikacije> Dodatna oprema> Terminal) in vnesete:

    sudo testdisk

    Če želite, lahko ustvarite datoteko dnevnika, čeprav ne vpliva na količino podatkov, ki jih obnovite. Ko izberete, vas pozdravi seznam medijev za shranjevanje na vaši napravi. Svojo velikost in oznako lahko prepoznate na trdem disku, ki ga želite obnoviti.

    TestDisk zahteva, da izberete vrsto tabele particij za iskanje. V večini primerov (ext2 / 3, NTFS, FAT32 itd.) Izberite Intel in pritisnite Enter.

    Označite Analiziraj in pritisnite enter.

    V našem primeru je bil naš manjši trdi disk prej formatiran kot NTFS. Presenetljivo, testDisk najde to particijo, čeprav je ne more obnoviti.

    Prav tako najde dve particiji, ki smo ju pravkar izbrisali. Lahko spreminjamo njihove atribute ali dodajamo več particij, vendar jih bomo obnovili s pritiskom na Enter.

    Če testDisk ni našel vseh vaših particij, lahko poskusite narediti globlje iskanje, tako da izberete to možnost s puščičnimi tipkami levo in desno. Imeli smo samo ti dve particiji, zato ju bomo obnovili tako, da izberemo Write in pritisnemo Enter.

    Testdisk nas obvešča, da bomo morali ponovno zagnati računalnik.

    Opomba: Če vaš Ubuntu Live CD ni obstojen, potem ko boste ponovno zagnali, boste morali znova namestiti vsa orodja, ki ste jih namestili prej..

    Po ponovnem zagonu se obe naši particiji vrneta v prvotno stanje, slike in vse ostalo.

    Obnovi datoteke določenih vrst

    Za naslednje primere smo izbrisali 10 slik iz obeh particij in jih nato ponovno formatirali.

    PhotoRec

    Od treh orodij, ki jih bomo pokazali, PhotoRec je najbolj uporabniku prijazen, čeprav je uporabljen na konzoli. Če želite obnoviti datoteke, odprite terminal (Aplikacije> Dodatna oprema> Terminal) in vnesite:

    sudo photorec

    Če želite začeti, morate izbrati napravo za shranjevanje, ki jo želite iskati. Pravilno napravo lahko prepoznate po velikosti in oznaki. Izberite ustrezno napravo in nato pritisnite Enter.

    PhotoRec zahteva, da izberete vrsto particije za iskanje. V večini primerov (ext2 / 3, NTFS, FAT itd.) Izberite Intel in pritisnite Enter.

    Na izbranem trdem disku imate na voljo seznam particij. Če želite obnoviti vse datoteke na particiji, izberite možnost Iskanje in pritisnite Enter.

    Vendar pa je ta proces lahko zelo počasen, v našem primeru pa želimo iskati samo datoteke s slikami, zato uporabimo desno tipko s puščico, da izberemo opcijo Datoteka in pritisnemo Enter..

    PhotoRec lahko povrne veliko različnih vrst datotek, odprava vsake izbire pa traja dolgo. Namesto tega pritisnemo »s«, da počistimo vse izbire, nato pa poiščemo ustrezne vrste datotek - jpg, gif in png - in jih izberemo s pritiskom tipke za desno puščico.

    Ko izberemo te tri, pritisnemo »b«, da shranimo te izbire.

    Pritisnite tipko enter, da se vrnete na seznam particij trdega diska. Želimo iskati obe particiji, zato označimo »No partition« in »Search« in nato pritisnemo Enter.

    PhotoRec pozove lokacijo za shranjevanje obnovljenih datotek. Če imate drugačen zdrav trdi disk, priporočamo, da tam shranite obnovljene datoteke. Ker se ne okreva veliko, ga bomo shranili na namizje Ubuntu Live CD.

    Opomba: Ne obnavljajte datotek na trdem disku, iz katerega ste obnovljeni.

    PhotoRec je sposoben obnoviti 20 slik iz particij na našem trdem disku!

    Hitri pogled v imeniku recup_dir.1, ki ga ustvari, potrjuje, da je PhotoRec obnovil vse naše slike, razen za imena datotek.

    Predvsem

    Najpomembnejši je program ukazne vrstice brez interaktivnega vmesnika, kot je PhotoRec, vendar ponuja številne možnosti ukazne vrstice, da dobite čim več podatkov iz vašega pogona..

    Za celoten seznam možnosti, ki jih lahko spremenite v ukazni vrstici, odprite terminal (Aplikacije> Pripomočki> Terminal) in vnesite:

    najprej -h

    V našem primeru so možnosti ukazne vrstice, ki jih bomo uporabili,:

    • -t, seznam vrst datotek za iskanje, ločenih z vejicami. V našem primeru je to »jpeg, png, gif«.
    • -v, ki omogoča podroben način, ki nam daje več informacij o tem, kaj počne predvsem.
    • -o, izhodna mapa za shranjevanje obnovljenih datotek. V našem primeru smo na namizju ustvarili imenik, ki je imenovan »foremost«.
    • -i, vhod, ki bo iskan za datoteke. To je lahko podoba diska v več različnih formatih; vendar bomo uporabili trdi disk, / dev / sda.

    Naš glavni poziv je:

    sudo foremost -t jpeg, png, gif -sredaj -v -i / dev / sda

    Vaš poziv se bo razlikoval glede na to, kaj iščete in kje ga iščete.

    Predvsem je sposoben obnoviti 17 od 20 datotek, shranjenih na trdem disku.

    Če pogledamo datoteke, lahko potrdimo, da so bile te datoteke obnovljene razmeroma dobro, čeprav vidimo nekaj napak v sličici za 00622449.jpg.

    Del tega je lahko posledica datotečnega sistema ext2. Predvsem priporoča uporabo -d možnosti ukazne vrstice za datotečne sisteme Linux, kot je ext2.

    Ponovno bomo delovali predvsem z dodajanjem možnosti -d ukazne vrstice na naš najvidnejši poziv:

    sudo foremost -t jpeg, png, gif -d -sredaj -v -i / dev / sda

    Tokrat je predvsem sposoben obnoviti vseh 20 slik!

    Končni pogled na slike kaže, da so bile slike brez težav odpravljene.

    Skalpel

    Scalpel je še en zmogljiv program, ki je, tako kot Foremost, močno konfiguriran. Za razliko od Foremost, mora Scalpel urediti konfiguracijsko datoteko, preden poskusite obnoviti podatke.

    Vsak urejevalnik besedil bo naredil, vendar bomo uporabili gedit za spremembo konfiguracijske datoteke. V terminalskem oknu (Aplikacije> Pripomočki> Terminal) vnesite:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf vsebuje informacije o številnih različnih vrstah datotek. V tej datoteki se pomikajte in vrstice z odklenjenimi besedami, ki se začnejo z vrsto datoteke, ki jo želite obnoviti (tj. Odstranite znak »#« na začetku teh vrstic).

    Shranite datoteko in jo zaprite. Vrnite se v terminalsko okno.

    Scalpel ima tudi veliko možnosti ukazne vrstice, ki vam lahko pomagajo pri iskanju hitro in učinkovito; vendar bomo definirali vhodno napravo (/ dev / sda) in izhodno mapo (mapo, imenovano »skalpel«, ki smo jo ustvarili na namizju).

    Naš poziv je:

    Skalpel sudo skalpel / dev / sda -o

    Scalpel je sposoben obnoviti 18 od naših 20 datotek.

    Hiter pogled na datoteke, ki jih je obnovil skalpel, kaže, da je bila večina naših datotek uspešno obnovljena, čeprav je bilo nekaj težav (npr. 00000012.jpg).

    Zaključek

    V našem hitrem primeru igrače je TestDisk lahko obnovil dve izbrisani particiji, PhotoRec in Foremost pa sta lahko obnovila vseh 20 izbrisanih slik. Scalpel je obnovil večino datotek, vendar pa je zelo verjetno, da bi se igranje z možnostmi ukazne vrstice za skalpel omogočilo obnovitev vseh 20 slik..

    Ta orodja so reševalci, ko gre kaj narobe z vašim trdim diskom. Če so vaši podatki nekje na trdem disku, ga bo eno od teh orodij sledilo!

    Obnovite datoteke s senčnimi kopijami v kateri koli različici sistema Windows Vista
    Obnovi izgubljene podatke obrazca v Firefoxu
    Snemanje videoposnetkov vašega namizja na katerem koli OS brezplačno
    Naslednji članek
    Obnovite izbrisane datoteke na trdem disku NTFS s CD-ja Ubuntu Live
    Prejšnji članek
    Posnemite seje ukazne vrstice z Asciinema