Phenquestions
Відновлення даних з жорсткого диска з головним:
Для початку давайте побачимо підключені запам'ятовуючі пристрої за допомогою команди lsblk, на консолі:
# lsblk
Lsblk покаже всі доступні запам'ятовуючі пристрої та розділи, включаючи своп та оптичні пристрої, у цьому випадку я хочу пристрій sdb.
Примітка: щоб дізнатись більше про команду lsblk read Як перерахувати всі дискові пристрої Linux.
Як бачите, називався накопичувач USB на 32 ГБ sdb і це пристрій, над яким я працюватиму.
Відновлення даних з USB-накопичувача з Foremost:
Щоб розпочати відновлення даних з USB-накопичувача, запустіть, встановивши Foremost за допомогою менеджера пакетів APT на дистрибутивах Debian або Linux, запустивши:
# apt встановити перш за все
Після встановлення ви можете відобразити сторінку довідки, щоб перевірити всі доступні параметри:
# передусім людина
Зі сторінки сторінки ми розуміємо прапор -i полягає у визначенні вхідного файлу, з якого Foremost почне працювати. Зазвичай він призначений для роботи з такими зображеннями, як зображення, створені такими інструментами, як dd або Encase. Щоб запустити Foremost найпростішим способом без додаткових прапорів, виконайте наступну команду заміни / sdb для ідентифікатора пристрою, з якого потрібно відновити дані.
Виконати:
Де sdb поставити правильний пристрій.
Після виконання процесу різьблення буде виглядати так:
Примітка: Ви також можете вказати розділи, наприклад, / dev / sdb1.
Коли процес закінчується, запустіть ls для підтвердження створення нового каталогу з назвою вихід:
# ls
Як ви можете бачити, вихідний каталог каталогу існує, щоб побачити відновлені файли, введіть його за допомогою команди компакт-диск (Змінити каталог), а потім запустіть ls:
# ls
Усередині ви побачите каталоги для всіх типів файлів Найперше вдалося відновити, крім того, ви побачите файл, який називається аудит.txt із звітом про вирізані файли.
Ви можете перевірити, які файли були знайдені в кожному каталозі, запустивши ls
Ви також можете переглянути всі відновлені файли через графічний менеджер файлів:
Відновлення даних з жорсткого диска за допомогою PhotoRec:
PhotoRect є разом з Foremost найпопулярнішим інструментом різання файлів або відновлення даних як для професійної криміналістики, так і для побутового використання. Хоча Foremost робить розумніше відновлення, демонструючи більш високу продуктивність, груба сила PhotoRec показує кращі результати при різанні файлів. У цьому розділі показано, як здійснити відновлення даних із жорсткого диска за допомогою PhotoRec.
Щоб розпочати дистрибутиви Debian та Linux, встановіть photorec, запустивши:
# apt встановити testdisk
Сторінка сторінки PhotoRec майже порожня, Photorec досить простий у використанні, і її потрібно лише виконати, з’явиться зручний для дидактики інтерфейс, подібний до CFDISK, щоб вести вас протягом усього процесу.
Після встановлення запустіть його, викликавши програму:
# photorec
Не забудьте запустити PhotoRec з достатньою кількістю дозволів для доступу до вирізаного пристрою.
На першому екрані потрібно вибрати вихідний диск або зображення, з якого PhotoRec повинен відновити дані. У цьому випадку я вибираю пристрій / dev / sdb, як показано на малюнку нижче:
На цьому кроці вам потрібно вибрати розділ, з якого ви хочете відновити дані.
Якщо розділи не знайдені та перераховані, перш ніж продовжувати пошук за допомогою клавіатури, перейдіть до Файл Опт щоб вивчити доступні варіанти, як показано на малюнку нижче:
Як ви бачите всередині Файл Опт Ви можете збільшити бажану точність результату, вказавши тип файлів, які ви шукаєте. Виберіть потрібний тип файлів і натисніть b продовжити, або Кинути повертатися.
Повернувшись на попередній екран, виберіть Пошук і натисніть Enter, щоб продовжити процес відновлення даних.
На цьому етапі Foremost запитає, який тип файлової системи має або використовував пристрій, у цьому випадку це був FAT або NTFS, виберіть відповідну файлову систему, навіть якщо вона в даний момент зламана, та натисніть ENTER.
Нарешті PhotoRec запитає, куди ви хочете зберегти файли, я щойно залишив робочий стіл, але ви можете створити для нього спеціальну папку, після вибору пункту призначення натисніть C продовжувати.
Процес розпочнеться і може тривати кілька хвилин або годин залежно від розміру.
В кінці процесу PhotoRect повідомить про створення каталогу з відновленими файлами, у цьому випадку recup_dir * всередині робочого столу, попередньо вибраного в якості пункту призначення.
Як і у Foremost, ви можете перерахувати всі файли з консолі:
Або ви можете переглядати файли за допомогою улюбленого графічного менеджера файлів:
Висновок щодо відновлення даних з жорсткого диска за допомогою PhotoRec та Foremost:
Обидва інструменти лідирують на ринку різання файлів, обидва інструменти дозволяють відновити будь-який тип файлів, Foremost підтримує різьбу jpg, gif, PNG, bmp, avi, exe, mpg, wav, риф, wmv, мов, pdf, оле, док, застібку-блискавку, рар, htm, і cpp і більше. Обидва інструменти сумісні з образами дисків, такими як dd або Encase. У той час як PhotoRec реле на грубу силу забезпечує глибше різьблення, Foremost фокусується на заголовках та колонтитулах блоків, що працюють швидше. Обидва інструменти включені в найпопулярніші судово-медичні пакети та дистрибутиви ОС, такі як Deft / Deft Zero live або CAINE, які були описані в https: // linuxhint.com / live_forensics_tools /.
Використання PhotoRec або Foremost надає можливість застосовувати висококласні інструменти криміналістики навіть для побутового використання; згадані інструменти не мають складних прапорів та опцій для додавання їх запуску.
Сподіваюся, цей підручник з Як відновити дані з жорсткого диска вам виявився корисним. Продовжуйте слідкувати за LinuxHint, щоб отримати додаткові поради та оновлення щодо Linux та мереж.
