Phenquestions
Восстановление данных с жесткого диска, прежде всего:
Для начала давайте посмотрим подключенные устройства хранения с помощью команды lsblk, на консоли запустить:
# lsblk
Lsblk покажет все доступные устройства хранения и разделы, включая устройства подкачки и оптические устройства, в этом случае мне нужно устройство sdb.
Примечание: чтобы узнать больше о команде lsblk, прочтите Как вывести список всех дисковых устройств Linux.
Как видите, USB-накопитель на 32 ГБ был назван SDB и это устройство, над которым я буду работать.
Восстановление данных с USB-накопителя с помощью Foremost:
Чтобы начать восстановление данных с USB-накопителя, начните с установки Foremost с помощью диспетчера пакетов APT в Debian или основанных на нем дистрибутивах Linux, запустив:
# apt install в первую очередь
После установки вы можете отобразить страницу руководства, чтобы проверить все доступные параметры:
# мужчина в первую очередь
На странице руководства мы понимаем флаг -я - определить входной файл, с которого Foremost начнет работать. Обычно он предназначен для работы с изображениями, созданными такими инструментами, как dd или Encase. Чтобы запустить Foremost самым простым способом без дополнительных флагов, выполните следующую команду, заменив / sdb на идентификатор устройства, с которого вы хотите восстановить данные.
Запустить:
Где SDB поставить правильное устройство.
После выполнения процесс резьбы будет выглядеть так:
Примечание: вы также можете указать разделы, например, / dev / sdb1.
Когда процесс завершится, запустите ls чтобы подтвердить создание нового каталога с именем выход:
# ls
Как видите, вывод каталога существует, чтобы увидеть восстановленные файлы, введите его с помощью команды CD (Изменить каталог), а затем запустите ls:
# ls
Внутри вы увидите каталоги для всех типов файлов, которые удалось восстановить Foremost, кроме того, вы увидите файл с именем audit.txt с отчетом о вырезанных файлах.
Вы можете проверить, какие файлы были найдены внутри каждого каталога, запустив ls
Вы также можете просмотреть все восстановленные файлы через графический файловый менеджер:
Восстановление данных с жесткого диска с помощью PhotoRec:
PhotoRect вместе с Foremost является самым популярным инструментом для вырезания файлов или восстановления данных как для профессиональной криминалистики, так и для домашнего использования. В то время как Foremost выполняет более интеллектуальное восстановление, демонстрируя более высокую производительность, грубая сила PhotoRec показывает лучшие результаты при вырезании файлов. В этом разделе показано, как выполнить восстановление данных с жесткого диска с помощью PhotoRec.
Для начала в Debian и дистрибутивах Linux установите photorec, выполнив:
# apt install testdisk
Страница руководства PhotoRec почти пуста, Photorec довольно прост в использовании, и его нужно только запустить, появится удобный дидактический интерфейс, похожий на интерфейс CFDISK, который будет направлять вас в течение всего процесса.
После установки запустите его, вызвав программу:
# photorec
Не забудьте запустить PhotoRec с достаточным количеством разрешений для доступа к устройству, которое нужно вырезать.
На первом экране вам нужно выбрать исходный диск или изображение, с которого PhotoRec необходимо восстановить данные. В этом случае я выбираю устройство / dev / sdb, как показано на изображении ниже:
На этом шаге вам нужно выбрать раздел, из которого вы хотите восстановить данные.
Если разделы не найдены и не перечислены, прежде чем продолжить поиск, с помощью стрелок на клавиатуре перейдите к File Opt чтобы изучить доступные параметры, как показано на изображении ниже:
Как вы можете видеть внутри File Opt вы можете повысить точность результатов, указав тип файлов, которые вы ищете. Выберите нужный тип файлов и нажмите б продолжить, или Покидать идти обратно.
Вернувшись на предыдущий экран, выберите Поиск и нажмите Enter, чтобы продолжить процесс восстановления данных.
На этом этапе Foremost спросит, какой тип файловой системы имеет или использовало устройство, в данном случае это была FAT или NTFS, выберите нужную файловую систему, даже если она в настоящее время сломана, и нажмите ВХОДИТЬ.
Наконец, PhotoRec спросит, где вы хотите сохранить файлы, я только что покинул рабочий стол, но вы можете создать для него отдельную папку, после выбора места назначения нажмите C продолжать.
Процесс начнется и может длиться несколько минут или часов в зависимости от размера.
В конце процесса PhotoRect уведомит о создании каталога с восстановленными файлами, в данном случае recup_dir * на рабочем столе, ранее выбранном в качестве места назначения.
Как и в Foremost, вы можете вывести список всех файлов из консоли:
Или вы можете просматривать файлы с помощью предпочтительного графического файлового менеджера:
Заключение по восстановлению данных с жесткого диска с помощью PhotoRec и Foremost:
Оба инструмента лидируют на рынке резьбы по файлам, оба инструмента позволяют восстанавливать файлы любого типа, Foremost поддерживает резку jpg, гифка, PNG, BMP, avi, EXE, миль на галлон, wav, рифф, WMV, mov, pdf, оле, док, застегивать, рар, htm, а также cpp и больше. Оба инструмента совместимы с образами дисков, такими как dd или Encase. В то время как PhotoRec использует грубую силу, обеспечивая более глубокое вырезание, Foremost фокусируется на более быстрой работе верхних и нижних колонтитулов блоков. Оба инструмента включены в самые популярные комплекты криминалистических программ и дистрибутивы ОС, такие как Deft / Deft Zero live или CAINE, которые были описаны на https: // linuxhint.ru / live_forensics_tools /.
Использование PhotoRec или Foremost дает возможность применять инструменты криминалистики высокого уровня даже для домашнего использования, упомянутые инструменты не имеют сложных флагов и опций для добавления запускающих их.
Надеюсь, вы нашли этот урок о том, как восстановить данные с жесткого диска, полезным. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux и сети.
