Startpagina » hoe » Herstel gegevens als een expert op het gebied van forensisch onderzoek met een Ubuntu Live-cd

    Herstel gegevens als een expert op het gebied van forensisch onderzoek met een Ubuntu Live-cd

    Er zijn veel hulpprogramma's om verwijderde bestanden te herstellen, maar wat als u uw computer niet kunt opstarten of de hele schijf is geformatteerd? We zullen je enkele tools laten zien die diep zullen graven en de meest ongrijpbare verwijderde bestanden of zelfs hele harde schijf partities zullen herstellen.

    We hebben u eenvoudige manieren getoond om per ongeluk verwijderde bestanden te herstellen, zelfs een eenvoudige methode die kan worden gedaan vanaf een Ubuntu Live-cd, maar voor harddisks die zwaar zijn beschadigd, zullen deze methoden het niet verminderen. In dit artikel zullen we vier hulpmiddelen onderzoeken die gegevens kunnen herstellen van de meest verwarde harde schijven, ongeacht of ze zijn geformatteerd voor een Windows-, Linux- of Mac-computer, of zelfs als de partitietabel volledig is weggevaagd..

    Opmerking: deze hulpmiddelen kunnen geen gegevens herstellen die op een harde schijf zijn overschreven. Of een verwijderd bestand is overschreven, hangt van veel factoren af ​​- hoe sneller u zich realiseert dat u een bestand wilt herstellen, hoe groter de kans dat u dit kunt doen.

    Onze setup

    Om deze tools te tonen, hebben we een kleine harde schijf van 1 GB geïnstalleerd, waarvan de helft is gepartitioneerd als ext2, een bestandssysteem dat in Linux wordt gebruikt en de helft van de ruimte is gepartitioneerd als FAT32, een bestandssysteem dat wordt gebruikt in oudere Windows-systemen. We hebben tien willekeurige foto's op elke harde schijf opgeslagen.

    We hebben vervolgens de partitietabel van de harde schijf gewist door de partities in GParted te verwijderen.

    Zijn onze gegevens voor altijd verloren?

    De hulpmiddelen installeren

    Alle tools die we gaan gebruiken zijn in Ubuntu's universum bewaarplaats.

    Om de repository in te schakelen, opent u Synaptic Package Manager door in de linkerbovenhoek op Systeem te klikken en vervolgens Beheer> Synaptic Package Manager.

    Klik op Instellingen> Repositories en voeg een vinkje toe in het vakje met de naam "Community-managed Open Source software (universe)".

    Klik op Sluiten en klik in het hoofdvenster van Synaptic Package Manager op de knop Opnieuw laden. Nadat de pakketlijst is herladen en de zoekindex opnieuw is opgebouwd, zoekt u naar en markeert u voor installatie een of alle van de volgende pakketten: TestDisk, voorop, en scalpel.

    TestDisk bevat TestDisk, waarmee verloren partities kunnen worden hersteld en opstartsectoren kunnen worden hersteld, en PhotoRec, dat vele verschillende soorten bestanden uit tonnen verschillende bestandssystemen kan herstellen.

    voorop, oorspronkelijk ontwikkeld door het US Air Force Office of Special Investigations, herstelt bestanden op basis van hun headers en andere interne structuren. Werkt vooral op harde schijven of bestuurt beeldbestanden gegenereerd door verschillende tools.

    Tenslotte, scalpel voert dezelfde functies uit als in de eerste plaats, maar richt zich op verbeterde prestaties en een lager geheugengebruik. Scalpel kan beter draaien als u een oudere machine met minder RAM hebt.

    Herstel harde schijf partities

    Als u uw harde schijf niet kunt aankoppelen, is de partitietabel mogelijk beschadigd. Voordat u begint met het herstellen van uw belangrijke bestanden, is het misschien mogelijk om een ​​of meer partities op uw harde schijf te herstellen, en herstelt u al uw bestanden in één stap.

    TestDisk is de tool voor de klus. Start het door een terminal te openen (Toepassingen> Accessoires> Terminal) en typ in:

    sudo testdisk

    Als u wilt, kunt u een logbestand maken, maar dit heeft geen invloed op de hoeveelheid gegevens die u herstelt. Nadat u uw keuze hebt gemaakt, wordt u begroet met een lijst met opslagmedia op uw computer. U moet in staat zijn om de harde schijf te identificeren waarvan u de partities wilt herstellen op basis van de grootte en het label.

    TestDisk vraagt ​​u om het type partitietabel te selecteren waarnaar moet worden gezocht. In de meeste gevallen (ext2 / 3, NTFS, FAT32, enz.) Moet u Intel selecteren en op Enter drukken.

    Markeer Analyseer en druk op Enter.

    In ons geval is onze kleine harde schijf eerder geformatteerd als NTFS. Verbazingwekkend genoeg vindt TestDisk deze partitie, hoewel het deze niet kan herstellen.

    Het vindt ook de twee partities die we zojuist hebben verwijderd. We kunnen hun kenmerken wijzigen of meer partities toevoegen, maar we zullen ze gewoon herstellen door op Enter te drukken.

    Als TestDisk niet al uw partities heeft gevonden, kunt u proberen een diepere zoekactie uit te voeren door die optie te selecteren met de linker- en rechterpijltoetsen. We hadden alleen deze twee partities, dus we zullen ze herstellen door Schrijven te selecteren en op Enter te drukken.

    Testdisk informeert ons dat we opnieuw moeten opstarten.

    Opmerking: als uw Ubuntu Live-CD niet persistent is, moet u bij het opnieuw opstarten gereedschappen opnieuw installeren die u eerder hebt geïnstalleerd.

    Na opnieuw opstarten zijn beide partities terug in hun oorspronkelijke staat, afbeeldingen en alles.

    Herstel bestanden van bepaalde typen

    Voor de volgende voorbeelden hebben we de 10 afbeeldingen van beide partities verwijderd en vervolgens opnieuw geformatteerd.

    PhotoRec

    Van de drie tools die we laten zien, PhotoRec is het meest gebruikersvriendelijk, ondanks dat het een op consoles gebaseerd hulpprogramma is. Om te beginnen met het herstellen van bestanden, opent u een terminal (Toepassingen> Accessoires> Terminal) en typt u:

    sudo photorec

    Om te beginnen, wordt u gevraagd om een ​​opslagapparaat te selecteren om te zoeken. U zou het juiste apparaat moeten kunnen identificeren aan de hand van het formaat en het label. Selecteer het juiste apparaat en druk op Enter.

    PhotoRec vraagt ​​u om het type partitie te selecteren om te zoeken. In de meeste gevallen (ext2 / 3, NTFS, FAT, enz.) Moet u Intel selecteren en op Enter drukken.

    U krijgt een lijst met de partities op uw geselecteerde harde schijf. Als u alle bestanden op een partitie wilt herstellen, selecteert u Zoeken en drukt u op Enter.

    Dit proces kan echter erg traag zijn en in ons geval willen we alleen naar fotobestanden zoeken, dus gebruiken we in plaats daarvan de rechterpijltoets om Bestandoptie te selecteren en druk op Enter.

    PhotoRec kan veel verschillende soorten bestanden herstellen en het deselecteren van elke bestand zou lang duren. In plaats daarvan drukken we op "s" om alle selecties te wissen en vervolgens de juiste bestandstypes te vinden - jpg, gif en png - en selecteer deze door op de pijltoets rechts te drukken.

    Nadat we deze drie hebben geselecteerd, drukken we op "b" om deze selecties op te slaan.

    Druk op enter om terug te keren naar de lijst met partities op de harde schijf. We willen onze beide partities doorzoeken, dus we markeren "Geen partitie" en "Zoeken" en drukken dan op Enter.

    PhotoRec vraagt ​​om een ​​locatie om de herstelde bestanden op te slaan. Als u een andere gezonde harde schijf hebt, raden we u aan de herstelde bestanden daar op te slaan. Omdat we niet veel herstellen, bewaren we het op het bureaublad van de Ubuntu Live-cd.

    Opmerking: herstel geen bestanden naar de harde schijf waarvan u herstelt.

    PhotoRec kan de 20 foto's van de partities op onze harde schijf herstellen!

    Een snelle blik in de map recup_dir.1 die wordt gemaakt, bevestigt dat PhotoRec al onze afbeeldingen heeft hersteld, behalve de bestandsnamen.

    voorop

    Het belangrijkste is een opdrachtregelprogramma zonder interactieve interface zoals PhotoRec, maar biedt een aantal opdrachtregelopties om zoveel mogelijk gegevens uit uw station te halen.

    Voor een volledige lijst met opties die kunnen worden aangepast via de opdrachtregel, opent u een terminal (Toepassingen> Accessoires> Terminal) en typt u:

    vooral -h

    In ons geval zijn de opdrachtregelopties die we gaan gebruiken:

    • -t, een door komma's gescheiden lijst met typen bestanden waarnaar moet worden gezocht. In ons geval is dit "jpeg, png, gif".
    • -v, waardoor breedsprakigheid mogelijk wordt, waardoor we meer informatie krijgen over wat het belangrijkste is.
    • -o, de uitvoermap om herstelde bestanden op te slaan. In ons geval hebben we een directory gemaakt met de naam "foremost" op het bureaublad.
    • -i, de invoer die naar bestanden wordt gezocht. Dit kan een schijfkopie in verschillende indelingen zijn; we gebruiken echter een harde schijf, / dev / sda.

    Onze belangrijkste aanroep is:

    sudo meest-t jpeg, png, gif -o voorste -v -i / dev / sda

    Uw aanroep zal verschillen afhankelijk van wat u zoekt en waar u naar op zoek bent.

    Foremost kan 17 van de 20 op de harde schijf opgeslagen bestanden herstellen.

    Als we de bestanden bekijken, kunnen we bevestigen dat deze bestanden relatief goed zijn hersteld, maar we kunnen enkele fouten in de miniatuur zien voor 00622449.jpg.

    Een deel hiervan kan te wijten zijn aan het ext2-bestandssysteem. Aanbevolen wordt in de eerste plaats de opdrachtregeloptie -d te gebruiken voor Linux-bestandssystemen zoals ext2.

    We zullen opnieuw het eerst draaien, door de opdrachtregeloptie -d toe te voegen aan onze belangrijkste aanroep:

    sudo voor-t jpeg, png, gif -d -o meest-v -i / dev / sda

    Deze keer is vooral in staat om alle 20 afbeeldingen te herstellen!

    Een laatste blik op de foto's laat zien dat de foto's zonder problemen zijn hersteld.

    Scalpel

    Scalpel is een ander krachtig programma dat, zoals Foremost, zwaar configureerbaar is. In tegenstelling tot Foremost vereist Scalpel dat u een configuratiebestand bewerkt voordat u gegevensherstel probeert.

    Elke teksteditor zal het doen, maar we gebruiken gedit om het configuratiebestand te wijzigen. Typ in een terminalvenster (Toepassingen> Accessoires> Terminal):

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf bevat informatie over een aantal verschillende bestandstypen. Blader door dit bestand en verwijder regels die beginnen met een bestandstype dat u wilt herstellen (dus verwijder het teken "#" aan het begin van die regels).

    Sla het bestand op en sluit het. Keer terug naar het terminalvenster.

    Scalpel heeft ook een heleboel opdrachtregelopties waarmee u snel en effectief kunt zoeken; we definiëren echter alleen het invoerapparaat (/ dev / sda) en de uitvoermap (een map genaamd "scalpel" die we op het bureaublad hebben gemaakt).

    Onze aanroep is:

    sudo scalpel / dev / sda-o scalpel

    Scalpel kan 18 van onze 20 bestanden herstellen.

    Een snelle blik op de herstelde bestanden scalpel onthult dat de meeste van onze bestanden succesvol zijn hersteld, hoewel er enkele problemen waren (bijvoorbeeld 00000012.jpg).

    Conclusie

    In ons voorbeeld van snel spelen kon TestDisk twee verwijderde partities herstellen en konden PhotoRec en Foremost alle 20 verwijderde afbeeldingen herstellen. Scalpel herstelde de meeste bestanden, maar het is zeer waarschijnlijk dat het spelen met de opdrachtregelopties voor scalpel ons in staat zou hebben gesteld om alle 20 afbeeldingen te herstellen.

    Deze tools zijn lifesavers wanneer er iets misgaat met uw harde schijf. Als uw gegevens ergens op de harde schijf staan, zal een van deze hulpprogramma's deze opsporen!

    Herstel bestanden met schaduwkopieën op elke versie van Windows Vista
    Herstel verloren formuliergegevens in Firefox
    Neem gratis video's op van uw bureaublad op elk besturingssysteem
    Volgend artikel
    Herstel verwijderde bestanden op een NTFS harde schijf van een Ubuntu Live-cd
    Vorig artikel
    Noteer uw commandoregelsessies met Asciinema