Jak provést obnovu dat z pevného disku

Tento kurz ukazuje, jak obnovit data z úložných zařízení v systému Linux. V tomto případě budou data obnovena z USB disku SanDisk o velikosti 32 GB, přesto je proces zobrazený v tomto tutoriálu stejný jako u běžného pevného disku. Tento kurz se zaměří na dva z nejpopulárnějších nástrojů pro řezání souborů, Foremost a PhotoRect, které jsou popsány v článku File Carving Tools. Oba budou vysvětleny od procesu instalace na Debianu 10 Buster po obnovu dat.

Obnova dat z pevného disku v první řadě:

Nejprve si pomocí příkazu zobrazte připojená úložná zařízení lsblk, při spuštění konzoly:

# lsblk

Lsblk zobrazí všechna dostupná úložná zařízení a oddíly, včetně odkládacích a optických zařízení, v tomto případě chci zařízení sdb.

Poznámka: se dozvíte více o čtení příkazu lsblk Jak zobrazit seznam všech diskových zařízení s Linuxem.

Jak vidíte, byl volán 32 GB USB pendrive sdb a to je zařízení, na kterém budu pracovat.

Obnova dat z USB disku s Foremost:

Chcete-li zahájit obnovu dat z jednotky USB, začněte instalací aplikace Foremost pomocí správce balíčků APT na Debianu nebo na základě distribucí Linux spuštěním:

# apt nainstalovat především

Po instalaci můžete zobrazit manuálovou stránku a zkontrolovat všechny dostupné možnosti:

# nejdůležitější člověk

Z manuálové stránky chápeme vlajku -i je určit vstupní soubor, ze kterého Foremost začne pracovat. Obvykle je zaměřen na práci s obrázky, jako jsou tyto, vytvářenými nástroji jako dd nebo Encase. Chcete-li spustit Foremost nejjednodušším způsobem bez dalších příznaků, spusťte následující příkaz nahrazující / sdb pro ID zařízení, ze kterého chcete obnovit data.
Běh:

# foremost -i / dev / sdb

Kde sdb vložte správné zařízení.
Po provedení bude řezbářský proces vypadat takto:

Poznámka: můžete také určit oddíly jako například / dev / sdb1.

Po ukončení procesu spusťte je pro potvrzení vytvoření nového adresáře s názvem výstup:

# ls

Jak vidíte, výstup adresáře existuje, chcete-li vidět obnovené soubory, zadejte jej pomocí příkazu CD (Změnit adresář) a poté spusťte je:

# cd výstup
# ls

Uvnitř uvidíte adresáře pro všechny typy souborů, které se Foremost podařilo obnovit, navíc uvidíte soubor s názvem audit.txt se zprávou o vyřezávaných souborech.

Spuštěním můžete zkontrolovat, jaké soubory byly nalezeny v každém adresáři je :

# ls jpg /

Všechny obnovené soubory můžete procházet také prostřednictvím grafického správce souborů:

Obnova dat z pevného disku s PhotoRec:

PhotoRect je společně s Foremost nejoblíbenějším nástrojem pro vyřezávání souborů nebo obnovu dat pro profesionální forenzní i domácí použití. Zatímco Foremost provádí chytřejší zotavení s rychlejším výkonem, hrubá síla PhotoRec ukazuje lepší výsledky při řezání souborů. Tato část ukazuje, jak provést obnovu dat z pevného disku pomocí PhotoRec.

Chcete-li začít v distribucích Debian a Linux, nainstalujte si fotorec spuštěním:

# apt nainstalujte testdisk

Manuální stránka PhotoRec je téměř prázdná, Photorec se velmi snadno používá a je potřeba jej pouze spustit, zobrazí se didaktické rozhraní podobné tomu z CFDISK, které vás provede celým procesem.

Po instalaci jej spusťte voláním programu:

# fotorec

Nezapomeňte spustit PhotoRec s dostatečným oprávněním pro přístup k zařízení, které má být vyřezáno.

Na první obrazovce musíte vybrat zdrojový disk nebo obrázek, ze kterého PhotoRec potřebuje obnovit data. V tomto případě vybírám zařízení / dev / sdb, jak je znázorněno na obrázku níže:

V tomto kroku musíte vybrat oddíl, ze kterého chcete obnovit data.
Pokud oddíly nejsou nalezeny a uvedeny v seznamu, než budete pokračovat v hledání pomocí šipek na klávesnici, přejděte na File Opt prozkoumat dostupné možnosti, jak je znázorněno na obrázku níže:

Jak vidíte uvnitř File Opt požadovanou přesnost výsledků můžete zvýšit zadáním typu souborů, které hledáte. Vyberte požadovaný typ souborů a stiskněte b pokračovat, nebo Přestat vrátit se.

Po návratu na předchozí obrazovku vyberte Vyhledávání a stisknutím klávesy Enter pokračujte v zahájení procesu obnovy dat.

V této fázi se Foremost zeptá, jaký typ souborového systému zařízení má nebo měl, v tomto případě to byl FAT nebo NTFS, vyberte správný souborový systém, i když je aktuálně poškozený, a stiskněte ENTER.

Nakonec se PhotoRec zeptá, kam chcete uložit soubory, právě jsem opustil plochu, ale můžete pro ni vytvořit vyhrazenou složku, po výběru cílového místa stiskněte C pokračovat.

Proces začne a může trvat několik minut nebo hodin v závislosti na velikosti.

Na konci procesu PhotoRect upozorní na vytvoření adresáře s obnovenými soubory, v tomto případě recup_dir * uvnitř plochy dříve vybrané jako cíl.

Stejně jako v případě Foremost můžete vypsat všechny soubory z konzoly:

Nebo můžete procházet soubory pomocí preferovaného grafického správce souborů:

Závěr o obnově dat z pevného disku pomocí PhotoRec a Foremost:

Oba nástroje vedou trh řezbářských souborů, oba nástroje umožňují obnovit jakýkoli typ souborů, Foremost podporuje carving jpg, gif, png, bmp, avi, exe, mpg, WAV, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, a cpp a více. Oba nástroje jsou kompatibilní s obrazy disků, jako je dd nebo pro Encase. Zatímco PhotoRec využívá hrubou sílu poskytující hlubší řezbářské práce, Foremost se zaměřuje na rychlejší práci záhlaví a zápatí. Oba nástroje jsou součástí nejpopulárnějších forenzních sad a distribucí OS, jako je Deft / Deft Zero live nebo CAINE, které byly popsány na https: // linuxhint.com / live_forensics_tools /.

Používání PhotoRec nebo Foremost přináší možnost aplikovat forenzní nástroje na vysoké úrovni i pro domácí použití, zmíněné nástroje nemají složité příznaky a možnosti přidání jejich spouštění.

Doufám, že vám tento návod, jak obnovit data z pevného disku, připadal užitečný. Pokračujte v LinuxHintu, kde najdete další tipy a aktualizace pro Linux a sítě.