Menú
Está libre
registro
hogar  /  Instalacion y configuracion/ Recuperar archivos borrados en ubuntu. Recuperación de datos

Recuperando archivos borrados en ubuntu. Recuperación de datos

Cuando se elimina un archivo o se formatea el disco, los archivos permanecen en su lugar. Solo se elimina la información sobre la ubicación de estos archivos en el disco. Al eliminar un archivo del disco, puede hacer una analogía con los números de las casas. Quitar el letrero con el nombre de la calle y el número de la casa hace que la casa sea mucho más difícil de encontrar y, al mismo tiempo, no desaparecerá de la faz de la tierra. Por lo tanto, casi siempre puede recuperar archivos eliminados de un disco al 100%, si los lugares donde se encuentra la información no se sobrescriben.

TestDisk puede recuperar algunos archivos eliminados del disco con bastante rapidez. No es tan poderoso como PhotoRec, pero encontrará archivos y guardará sus nombres más rápido. Esta utilidad TestDisk se puede encontrar en el repositorio de su distribución de Linux. Permítame recordarle que puede obtenerlo del administrador del programa o instalarlo con un comando desde la terminal.

En Ubuntu y derivados:

Sudo apt-get install testdisk

También este programa existe tanto para Windows como para MacOS. Los paquetes de instalación se pueden encontrar en el sitio web del fabricante en www.cgsecurity.org/wiki/TestDisk_Download. Hay ready-made imágenes de arranque como ISO para grabar en CD o memoria USB www.cgsecurity.org/wiki/TestDisk_Livecd.

Cuando abra TestDisk, se le pedirá que cree un nuevo archivo de registro, simplemente presione Intro para aceptarlo.

Comando para llamar al programa en la terminal de Linux:

Estás tomando disco deseado usando las teclas de flecha y presione Enter.

En el siguiente menú, seleccione y presione enter.

Luego seleccione Avanzado

Si tiene más de una sección, tendrá que seleccionarla con las flechas arriba / abajo. Lo más probable es que necesite la partición que tenga la mayor cantidad de sectores.

Verá una larga lista de archivos que puede intentar recuperar (tenga en cuenta que no todos se pueden recuperar). Puede desplazarse por la lista usando las teclas de flecha arriba / abajo y Page Up y Page Down. Si el nombre del archivo no cabe en la ventana del terminal, puede maximizar esta ventana.

Si no pudo encontrar el archivo que necesita, que ha sido eliminado, inténtelo. PhotoRec ha terminado programa poderoso para restaurar, restaurará todos los archivos eliminados, pero no conservará los nombres antiguos. El programa nombra los archivos recuperados en sí, en números, a medida que se restauran.

Y si encuentra un archivo perdido en el programa TestDisk, presione la tecla C en el teclado, luego TestDisk le preguntará dónde restaurar este archivo, presione Enter y el archivo seleccionado será restaurado. TestDisk lo llevará de regreso a la lista de archivos para recuperar.

Una vez que haya restaurado sus archivos, puede cerrar la ventana del programa.

TestDisk puede intentar repetir la estructura del directorio, por lo que puede encontrar su archivo en varias subcarpetas.

O recuperación de datos de sistemas de archivos Linux no solo escribió
perezoso. Para realizar esta tarea, hay muchos
herramientas, incluida la utilidad debugfs, que recupera fácilmente cualquier
archivos con ext2. Pero, ¿qué pasa con otros FS? Cómo recuperar un archivo desaparecido de
¿una unidad flash o una partición NTFS cercana? Incluso el mas
blogueros trabajadores. Mientras tanto, todo es muy simple y prosaico.

No siempre es conveniente reiniciar en otro sistema operativo para ejecutar
acciones para verificar sistemas de archivos, restaurar archivos, cambiar el tamaño
secciones y realizar otras operaciones con datos. Imagina que ya hay varios
Durante años, ha instalado dos sistemas operativos en su computadora: Windows y Linux. El primero
descargas muy raramente y solo en emergencias, usas el segundo
todos los días y ya está pensando en cambiar completamente a Linux y eliminar Windows, aquí
única partición NTFS que almacena datos acumulados durante años, convierta a ext3
no con herramientas. Tengo que mantener dos sistemas operativos, porque
aunque se puede acceder a la partición NTFS desde Linux (usando ntfs-3g), para resolver problemas
el sistema de archivos aún tendrá que reiniciarse en Windows.

¿Y si el sistema de archivos FAT en la unidad flash está cubierto? De nuevo
reiniciar en Windows? O borró accidentalmente un archivo en el sistema de archivos UFS,
perteneciente a un FreeBSD instalado cercano? Quizás eres sistémico
administrador, y no había ningún disco de recuperación de Windows en el momento adecuado
¿a mano? Responderé a todas las preguntas a la vez: casi todas las acciones para regresar de
inexistencia de sistemas de archivos FAT, NTFS, UFS, restauración de archivos almacenados en ellos,
se pueden realizar diagnósticos y mucho más sin salir de Linux. De este articulo
aprenderás a hacerlo.

Set de herramientas

Antes de pasar directamente a la descripción del proceso de recuperación,
diagnósticos y la vuelta a la vida de los archivos muertos, considero que es mi deber familiarizarme
usted con una lista de herramientas usadas. Primero, necesitamos
herramientas para trabajar con sistemas de archivos (crear, verificar, obtener
información). Todos se distribuyen en tres paquetes:

1. dosfstools- utilidades para trabajar con sistemas de archivos como FAT.
El paquete contiene solo dos programas: mkfs.vfat (mkfs.dos) para crear un archivo
system y fsck.vfat (fsck.dos) para realizar una verificación del sistema de archivos.

2. ufsutils- un conjunto de utilidades para trabajar con UFS y derivados (por ejemplo,
FFS utilizado por FreeBSD). Contiene ocho utilidades que incluyen mkfs.ufs,
fsck.ufs, tunefs.ufs (ajuste de FS), growfs.ufs (cambio de tamaño) y otros.

3. ntfsprogs- varias utilidades para trabajar con NTFS. No contiene
programas para crear o completar el archivo de verificación (es posible una verificación básica)
sistema, pero incluye masa herramientas más útiles como ntfscp para
copiar archivos sin montar una partición, "reencarnador" de archivos ntfsundelete,
utilidad para cambiar el tamaño de las particiones ntfsresize, software de clonación
secciones ntfsclone y otras.

Además, es posible que necesitemos herramientas para trabajar con particiones de un disco duro.
disco. Hay tres programas más avanzados de este tipo:
se separó
diseñado para crear particiones, cambiar su tamaño, mover,
crear y verificar sistemas de archivos;
gpart -
programa de recuperación para la tabla de particiones sobrescrita y
TestDisk -
análogo de gpart con una interfaz pseudo-gráfica y varias funciones útiles.

Cabe señalar que parted es solo una buena envoltura de las utilidades descritas.
para trabajar con sistemas de archivos, por lo que prácticamente cualquier parted puede hacer
ellos. Además, alrededor de parted hay otra envoltura llamada
... Ella
simplemente crea una GUI GTK de estilo Partition Magic fácil de usar.

En el paquete TestDisk encontrará la utilidad PhotoRec para
recuperación de varios tipos de archivos de una partición, independientemente del uso
sistema de archivos. Su principio de funcionamiento es buscar y recuperar archivos.
por sus metadatos sin analizar la estructura del sistema de archivos. PhotoRec es capaz de
recuperar imágenes (bmp, jpg, png, tiff, raf, raw, rdc, x3f, crw, ctg,
orf, mrw), archivos de audio (wav, au, mp3, wma), archivos de video (avi, mov, mpg), archivos
(bz2, tar, zip), documentos (doc, pdf, html, rtf), archivos fuente (c,
pl, sh). En el paquete se pueden encontrar varios programas del mismo tipo
Kit de detective para el que
hay una autopsia de interfaz web.

Escenarios de uso

En las siguientes secciones, veremos algunos escenarios comunes.
utilizando las utilidades descritas. Primero, es Descripción detallada proceso
recuperación de archivos utilizando tres enfoques diferentes, en segundo lugar, la reparación
sistemas de archivos después de una falla, en tercer lugar, clonar una partición en varias máquinas,
cuarto, una descripción del proceso de transferencia de datos a una partición más pequeña.

Ressurection personalizado

Para revivir archivos muertos en NTFS, el ya mencionado
ntfsundelete del paquete ntfsprogs. Es muy fácil de usar y extremadamente
ordenado. Si frotó accidentalmente un archivo e inmediatamente desmontó la partición, sea
sure - ntfsundelete podrá devolverlo a su lugar sano y salvo.

Primero, necesita ver una lista de todos archivos borrados:

# ntfsundelete / dev / sda1

La tercera columna de la salida indicará el porcentaje de integridad del archivo. Si él
igual al 100%: todo está bien, el archivo puede volver a la vida sano y salvo;
un valor más bajo indica que algunas de sus partes ya han sido sobrescritas
nuevos datos, por lo que después de la recuperación, el archivo será, como dicen,
roto. En algunos casos, la capacidad de recuperar incluso la mitad de los muertos.
El archivo puede hacer que el clima, por ahora, detengámonos en copias completamente intactas.
Para hacer esto, ejecute el siguiente comando:

# ntfsundelete -p 100 / dev / sda1

¡Vaya, hay tantos! Hagamos que el programa muestre solo archivos,
eliminado en los últimos 2 días:

# ntfsundelete / dev / sda1 -p 100 -t 2d

Eso es mejor. Restaurar el archivo cuyo número de inodo (primera columna de salida) es
es 11172, al directorio / undeleted:

# ntfsundelete / dev / sda1 -u -i 11172 -d / undeleted

Los archivos se pueden restaurar usando una máscara:

# ntfsundelete / dev / sda1 -u -m "* .doc"

Filtrar por longitud:

# ntfsundelete / dev / hda1 -S 5k-6m

O puede restaurar todos los archivos eliminados, y solo entonces averiguarlo,
que es que:

# ntfsundelete / dev / sda1 -u -m "*" -d / undeleted

El programa extrae archivos con todos los atributos, incluido el nombre y la hora de creación.
Es un placer utilizarlo.

Para recuperar datos de todos los demás sistemas de archivos, incluidos FAT, UFS,
EXT3, o cualquier otro, es más conveniente para usar PhotoRec. Lanzamiento
programa:

En el menú principal, seleccione el dispositivo experimental (por ejemplo, / dev / sda). Empujar
y seleccione el tipo de tabla de particiones (para pisyuk es Intel). A continuación, seleccione
partición, y en la siguiente pantalla - el tipo de sistema de archivos (ext2 / ext3 u otro).
Establecemos el directorio donde queremos colocar los archivos recuperados y presionamos "Y".
El directorio debe estar en una partición / disco diferente; de ​​lo contrario, corre el riesgo de agravar
situación sobrescribiendo los archivos eliminados con nuevos datos.

Eso es todo, el proceso de recuperación ha comenzado, puede durar desde 10 minutos hasta
varias horas, dependiendo de la "antigüedad" del sistema de archivos y el número de
archivos eliminados. Puede detener el proceso en cualquier momento presionando , y
reanúdelo desde el punto de interrupción reiniciando PhotoRec.

En el directorio que elija, encontrará toneladas de subdirectorios con el nombre
recup_dir.1, recup_dir.2, cada uno con una gran cantidad de archivos
diferentes tipos. PhotoRec no restaura los nombres, así que tienes que jugar con
rastrillar todo este montón.
PhotoRec también tiene otras desventajas:

  1. Muy a menudo, se bloquea y los archivos se pueden dañar,
    por lo tanto, deben comprobarse si son "irrompibles" sin falta.
  2. El programa busca archivos por plantillas. Si eliminó un archivo cuyo formato
    PhotoRec no es compatible; escríbalo todo.

Por lo tanto, además de photorec, es necesario tener otras herramientas a mano.
análisis y recuperación de datos perdidos. Se considera lo mejor en este campo
Utilidades del kit de detective,
que contiene una gran cantidad de una amplia variedad de herramientas que aman
Aplicar en su trabajo diversos servicios para investigar incidentes de robo y
administradores de sistemas avanzados. Estamos lejos de esto y nos interesa
sólo dos utilidades de todo el conjunto: fls e icat, destinadas a la búsqueda y
extraer archivos (tanto existentes como eliminados).

Veamos la lista de archivos eliminados usando la utilidad fls:

# fls -rd / dev / sdb1
r / r * 117: dsc0005.jpg
r / r * 119: dsc0006.jpg
r / r * 122: dsc0007.jpg
r / r * 125: dsc0008.jpg
r / r * 128: dsc0009.jpg

La bandera "-r" fuerza al programa a recorrer todos los directorios de forma recursiva, y la "-d"
- muestra solo los archivos eliminados.

Lo más probable es que la lista sea muy larga y, además, contendrá una lista
inodo que ya se ha dado a otros archivos (la línea realloc en el tercer
column), así que lo filtraremos y lo canalizaremos a less:

# fls -rd / dev / sda1 | grep -v "(realloc)" | menos

En la tercera columna, verá los números de los archivos de inodo, y en la cuarta, sus nombres.
Para extraer un archivo del FS, use el comando icat (el indicador "-r" está destinado
para recuperar un archivo eliminado):

# icat -r / dev / sda1 1023> / home / vasya / tmp / my_file

Para restaurar todos los archivos, puede utilizar el siguiente comando:

# para i en `fls -rd / dev / sda1 | grep -v "(realloc)" | \
awk ("imprimir $ 3") | tr -d [:] `; hacer icat -r -f fat / dev / sdb1 $ i> \
/ home / vasya / tmp / inode- $ i; hecho

Si quieres encontrar alguno archivo específico, entonces la salida de fls puede simplemente "hornearse":

# fls -rd / dev / sda1 | grep -v "(realloc)" | grep my_file.jpg

Lo bueno de las utilidades de Sleuth Kit es que utilizan
una amplia variedad de métodos para encontrar archivos eliminados y sus partes. Esto y
análisis de las estructuras de control del sistema de archivos y varios métodos heurísticos,
y coincidencia de patrones. De hecho, con la ayuda del Sleuth Kit es posible volver a
vida, incluso archivos sobrescritos en ext3 (a pesar de que los mismos desarrolladores de ext3 dicen sobre
la imposibilidad de tal operación).

Arreglar sistemas de archivos

Arreglar un sistema de archivos dañado es muy fácil. Suficiente
utilice las utilidades estándar fsck.vfat (para sistemas de archivos FAT12,
FAT16 y FAT32), fsck.ufs (para UFS, UFS2, FFS) y ntfsfix (para NTFS).

Desafortunadamente, ntfsfix no es capaz de curar NTFS por completo. Ella solo arregla
algunos de sus problemas y establece la marca de verificación de archivo forzada
sistema, por lo que se iniciará el próximo reinicio en Windows
chkdsk para una verificación completa del sistema de archivos.

Utilizando máquina virtual, podemos evitar la necesidad de reiniciar en
Windows. Para esto:

  1. Arrancamos la máquina virtual e instalamos Windows en la virtual
    HDD.
  2. Desmontemos la partición que contiene el sistema de archivos NTFS.
  3. Arrancamos la máquina virtual, como la primera disco duro cuales
    indicamos el disco virtual con Windows, y el segundo es nuestro disco duro real
    disco.
  4. Usando estándar Herramientas de Windows comience a verificar la partición NTFS.

Copiar secciones

Supongamos que compró un nuevo disco duro y desea transferir varias particiones.
del disco antiguo al nuevo. Si comienza a hacerlo con métodos estándar,
mediante la creación de una nueva partición y la copia manual de archivos, corre el riesgo de tener
muchos problemas relacionados con codificaciones de nombres de archivos, archivos especiales,
archivos protegidos, y perderá mucho tiempo. Es mejor usar el método
clonación de una partición.

Los usuarios de UNIX clonan particiones utilizando la utilidad dd estándar, que
se puede utilizar junto con cualquier sistema de archivos. Para esto en un disco nuevo
se crea una sección que es idéntica en tamaño a la fuente, y el comando "dd if = section1
of = partition2 bs = 1m ". De la misma manera, puede copiar una partición NTFS, pero en un paquete
ntfsprogs tiene una mejor utilidad para este propósito.

El programa ntfsclone es idéntico en funcionalidad al comando dd excepto
dos características. Primero, no copia las secciones no asignadas del archivo.
sistema, y ​​el movimiento es más rápido, y la imagen de la partición (si crea
imagen) ocupa menos espacio. En segundo lugar, ntfsclone puede almacenar una imagen en
un archivo comprimido especial que es conveniente para transferir a otras máquinas.

Para clonar una partición, simplemente ejecute el siguiente comando:

# ntfsclone --overwrite / dev / hda1 / dev / hdb1

Y para crear una imagen:

# ntfsclone --save-image --output backup.img / dev / hda1

La utilidad ntfsclone es especialmente útil si decide copiar el archivo instalado.
Ventanas para toda una flota de otras máquinas (aula u oficina). Para esto
basta con instalar Windows en una máquina y crear una imagen, que luego
se puede poner en una bola y con usando Linux Cargue LiveCD a otras máquinas. Para
pudieron arrancar, también tendrá que copiar el registro MBR del disco:

# sfdisk -d / dev / sda> /share/sda-sfdisk.dump
# dd if = / dev / sda bs = 512 count = 1 of = / share / sda-mbr.dump

Y luego escríbalo en el disco de todas las máquinas:

# sfdisk / dev / sda< /share/sda-sfdisk.dump
# dd if = / share / sda-mbr.dump of = / dev / sda

Transferencia de datos

Qué hacer si decide cambiarse completamente a Linux, pero no quiere
use varios trucos y ntfs-3g para acceder a sus datos antiguos,
ubicado en una partición NTFS? Después de todo, esta sección puede ocupar la mayor parte del
disco, y no hay forma de simplemente copiar su contenido en uno nuevo
una partición formateada con ext3 / ext4. En este caso, volverán a acudir en tu ayuda.
utilidades del paquete ntfsprogs, o más bien una de ellas, ntfsresize, que permitirá
copiar datos en pequeñas porciones a un nuevo sistema de archivos, seguido de
reduciendo el tamaño de la partición NTFS y aumentando la partición ext3 / ext4. Por esto tu
necesitará algún tipo de LiveCD que contenga ntfsprogs y e2fsprogs al menos la versión
1.41 (para soporte ext4, si, por supuesto, va a transferir datos a
ella). También es muy deseable que el LiveCD contenga gparted fresco, porque
que cambiar el tamaño manualmente es difícil y peligroso (excepto para cambiar el tamaño del sistema de archivos,
para cambiar el tamaño de la partición con fdisk, un error y toda la operación
tienes que empezar de nuevo).

Entonces, arrancamos desde el LiveCD y montamos las particiones del disco duro. Digamos su
el tamaño es de 120 GB. De estos, 80 GB es una partición NTFS empaquetada y
los 30 GB restantes (sí, exactamente 30, después de la transferencia de gigabytes de marketing a
el volumen real del disco resulta ser aproximadamente 111 GB) - esta es una partición con
instalado Linux, que ocupa 5 GB. Esto significa que nuestra "ventana"
equivale aproximadamente a 25 GB. Mover archivos de la partición NTFS a la partición ext3 / ext4 a esos
hasta que su tamaño combinado sea igual al tamaño de la ventana. Como resultado
el último resulta estar completamente lleno y el primero "pierde peso" en 25 GB.
Desmonte ambas particiones y ejecute gparted. Seleccione la partición NTFS, haga clic en el segundo
botón del mouse, seleccione Cambiar tamaño / Mover y reduzca la sección al tamaño de la ventana, seleccione
ext3 / ext4-partition y auméntelo al mismo tamaño de ventana (la partición tendrá que
deslice al principio del disco y luego amplíe). Entonces obtenemos otros 25 GB
espacio libre, que nos permitirá copiar algunos de los archivos, y luego nuevamente
cambiar el tamaño. Cuatro de esos pases, y eliminamos por completo la partición NTFS, y
la partición ext3 / ext4 se puede expandir a todo el disco.

conclusiones

Como puede ver, Linux no solo puede funcionar con muchos
sistemas de archivos, pero también está equipado con una gran cantidad de utilidades para su modificación, realizando
diagnósticos y otras operaciones. Nunca te encontrarás en una desesperanza.
situaciones, manteniendo un LiveCD basado en Linux a mano, que es exactamente lo que
el más santo grial de todos administrador de sistema y el usuario.

Www

Ante todo, otro software popular para
recuperación de archivos por plantillas.

www.sysresccd.org -
El CD System Rescue contiene todos los programas mencionados en el artículo.

Compartiré un pequeño hallazgo, un pequeño programa para recuperar archivos borrados. Hace un tiempo era muy necesario, pero lamentablemente no encontré el programa Bisturí. En mi opinión, de todos los métodos que conozco, este es uno de los más simples. Scalpel surgió del proyecto.

Y tan dedicado a los amantes de rm -rf:

En primer lugar, nadie puede garantizar que Scalpel pueda recuperar sus archivos, pero lo más probable es que lo haga.

Instalación (ya que Ubuntu está instalado en la máquina probada, hablaré sobre ello):

sudo apt-get install bisturí

Antes de usar Scalpel, editemos el archivo de configuración:
sudo nano /etc/scalpel/scalpel.conf

En él, debe especificar los archivos de qué tipo restauraremos (de forma predeterminada, no se selecciona más de un tipo). Seleccioné archivos doc y pdf para la recuperación:

doc y 10000000 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1 \ x1a \ xe1 \ x00 \ x00 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1 \ x1a \ xe1 \ x00 \ x00 SIGUIENTE
doc y 10000000 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1

pdf y 5000000% PDF% EOF \ x0d REVERSE
pdf y 5000000% PDF% EOF \ x0a REVERSE

Ahora puede comenzar la recuperación:

bisturí / dev / sda1 -o salida

-o muestra el directorio donde se almacenarán los archivos recuperados, si el directorio con el mismo nombre ya existe (y no está vacío) Scalpel no se iniciará.
/ dev / sda1: el volumen real que buscaremos en busca de archivos perdidos.
La lista se puede ver usando el comando de montaje:
[correo electrónico protegido]: ~ $ montaje
/ dev / sda1 en / escriba ext3 (rw, relatime, errors = remount-ro)
proc en / proc tipo proc (rw, noexec, nosuid, nodev)
/ sys en / sys tipo sysfs (rw, noexec, nosuid, nodev)
varrun en / var / run type tmpfs (rw, noexec, nosuid, nodev, mode = 0755)
udev en / dev type tmpfs (rw, mode = 0755)
devshm en / dev / shm tipo tmpfs (rw)
devpts en / dev / pts tipo devpts (rw, gid = 5, mode = 620)
lrm en /lib/modules/2.6.24-21-generic/volatile tipo tmpfs (rw)
/ dev / sda2 en / home tipo ext3 (rw, relatime)

Después de hacer ejercicio, vaya al directorio de salida y vea qué hay allí:

[correo electrónico protegido]: ~ / salida $ ls -l
-rw-r - r-- 1 raíz raíz 28189 2009-03-24 14:42 audit.txt
drwxr-xr-x 2 raíz raíz 4096 2009-03-24 14:42 doc-3-0
drwxr-xr-x 2 raíz raíz 4096 2009-03-24 14:42 doc-3-1
drwxr-xr-x 2 raíz raíz 4096 2009-03-24 14:42 doc-3-2
drwxr-xr-x 2 raíz raíz 4096 2009-03-24 14:42 doc-4-0

drwxr-xr-x 2 raíz raíz 4096 2009-03-24 14:42 pdf-5-0
drwxr-xr-x 2 raíz raíz 4096 2009-03-24 14:42 pdf-6-0

El archivo audit.txt contiene información sobre la recuperación realizada:

[correo electrónico protegido]: ~ / salida $ cat audit.txt

Archivo de auditoría de Scalpel versión 1.60
Comenzó el Mar 24 Mar 14:16:04 2009
Línea de comando:
bisturí / dev / sda1 -o salida

Directorio de salida: / home / username / output
Archivo de configuración: /etc/scalpel/scalpel.conf

Abriendo destino "/ dev / sda1"

Se grabaron los siguientes archivos:
Longitud de corte de inicio de archivo extraída de
00053045.doc 183664640 SÍ 10000000 sda1
00053046.doc 183971840 SÍ 10000000 sda1

00050372.doc 203272192 NO 208896 sda1
00050373.doc 203481088 NO 229376 sda1

Completado Tue Mar 24 14:42:41 2009

Buscamos en los subdirectorios y vemos (si tenemos suerte) nuestros archivos:

[correo electrónico protegido]: ~ / output / doc-3–0 $ ls -l
total 25564
-rw-r - r-- 1 raíz raíz 307200 2009-03-24 14:42 00050348.doc
-rw-r - r-- 1 raíz raíz 40960 2009-03-24 14:42 00050349.doc
-rw-r - r-- 1 raíz raíz 4354 2009-03-24 14:42 00050350.doc
-rw-r - r-- 1 raíz raíz 466686 2009-03-24 14:42 00050351.doc
-rw-r - r-- 1 raíz raíz 176128 2009-03-24 14:42 00050352.doc

Fuente - HowtoForge (traducción gratuita).

Agregaré de mí mismo que Bisturí no lo ha restaurado todo, por supuesto. Pero mucho, incluso ya me olvidé de algunos archivos. Funciona muy lentamente, se come casi todo el procesador durante su funcionamiento.

Scalpel puede trabajar con sistemas de archivos FAT, NTFS, ext 2/3, es decir, puede recuperar datos de particiones win.

Y finalmente, la mejor manera recuperar archivos muy importantes es:
1. Realice copias de seguridad.
2. Es muy bueno pensar antes de borrar.

¡Feliz recuperación de datos!

Los problemas ocurren con más frecuencia de lo que nos gustaría. Uno de ellos es eliminar un archivo con datos importantes. Además, en Unix, se cree que cae en el olvido. Desafortunadamente, de hecho, recuperar archivos borrados en Unix no es tan tarea sencilla como en Windows con su papelera habitual para archivos eliminados y numerosas utilidades de proveedores externos (por ejemplo, Norton Utilities). Esto se debe a las peculiaridades de la arquitectura de los sistemas de archivos.
Unix. El sistema operativo Linux define el concepto de archivo de manera más amplia. Un archivo es cualquier objeto que tenga un nombre en el sistema de archivos. Uno de estos objetos es el catálogo. El directorio almacena tanto el nombre del archivo como información adicional sobre un archivo: su tamaño, información sobre el propietario del archivo, ubicación en el disco, fecha de creación, fecha de la última modificación, derechos de acceso y mucho más. Además, para mayor eficiencia, la información adicional se coloca en una estructura especial, y solo se deja un enlace a esta estructura en el catálogo. Cuando se elimina un archivo, esta información adicional no se elimina físicamente del disco, sino que solo se marca como bloques correspondientes libres. Por lo tanto, existe la posibilidad de recuperar un archivo eliminado mientras no se haya escrito nada en su ubicación. Intentaré sugerir un algoritmo de acciones cuando ocurra tal problema.

Terminación de trabajos posteriores.

Inmediatamente después de darse cuenta de que ha sucedido algo terrible, deténgase más trabajo en la partición del disco con el archivo eliminado. Naturalmente, no solo debe dejar de trabajar, sino también todos los demás usuarios que están conectados al sistema. Asegúrese de que nadie más pueda iniciar sesión en el sistema mientras está restaurando el archivo (por ejemplo, usando / etc / nologin). Lo principal es evitar que otros procesos sobrescriban bloques de disco utilizados anteriormente por el archivo eliminado. La probabilidad de que esto suceda aumenta significativamente si la sección está casi llena.

Él mismo un necrófilo.

Consideremos dos opciones de recuperación. Uno es bastante universal, aplicable, muy probablemente, en cualquier Sistema Unix... El segundo está diseñado para trabajar con el sistema de archivos Ext2
Linux.

Recuperar archivos con contenido conocido

* crear una copia de la sección raíz y colocarla en un archivo de la sección / exportar. Esta sección debe tener suficiente espacio libre para contener toda la sección en la que se eliminó el archivo.

# df -k // exportar
Sistema de archivos Capacidad disponible de Kbytes usados ​​Montado en
/ dev / dsk / c0t3d0s0 122070 19512 102558 16% /
/ dev / dsk / c1t0d0s0 17592638 14425963 3166675 82% / exportación
# dd if = / dev / dsk / c0t3d0s0 of = / export / recovery.dsk
263077 + 0 registros en
263077 + 0 registros fuera
# ls -l
-rw-r-r-- 1 raíz otro 134701056 1 de julio 16:54 recovery.dsk

* ejecutar el comando cat con el interruptor -n (salida de números de línea), cuya salida se redirige a la utilidad fgrep, que, después de buscar un patrón dado, eliminará todo lo innecesario

# cat -n recovery.dsk | fgrep "raíz: x: 0: 1"
200601 root: x: 0: 1: Superusuario: /: / sbin / sh
202108 root: x: 0: 1: Superusuario: /: / sbin / sh

Es posible que las cadenas no se encuentren en el caso de un error al especificar la plantilla o en el caso de la pérdida del contenido del archivo eliminado, que podría haberse sobrescrito. En nuestro caso, como podemos ver, se han conservado dos versiones del archivo.

* mostrar un número de líneas después de la encontrada
# fgrep -A10 "root: x: 0: 1" recovery.dsk> passwd
# contraseña de gato
root: x: 0: 1: Superusuario: /: / sbin / sh
demonio: x: 1: 1 :: /:
bin: x: 2: 2 :: / usr / bin:
...

llaves -A<число строк>y B<число строк>Las utilidades fgrep le permiten mostrar varias líneas después (después) y antes (antes) de una línea coincidente. Si puede obtener todo su archivo en un solo paso, entonces tiene mucha suerte. Desafortunadamente, los archivos suelen estar fragmentados, y cuanto mayor sea el tamaño del archivo, mayores serán las posibilidades de fragmentación y mayores serán los fragmentos. Por lo tanto, lo más probable es que deba repetir el procedimiento descrito, utilizando diferentes plantillas y combinando las partes resultantes. Es difícil entender cuál de las versiones del archivo guardado en el disco es la última. Esto se determina solo mirando el contenido del archivo recuperado. Esto significa que debe restaurar todas las versiones del archivo. Bastante tedioso, pero eficaz.

Recuperación de archivos en Linux Ext2

Este método se utiliza en caso de eliminación con el comando rm o la función de desvinculación y no requiere conocimiento del contenido del archivo eliminado al restaurar. Para que funcione, necesitamos el depurador del sistema de archivos debugfs, una utilidad bastante poderosa que generalmente se usa para verificar y cambiar el sistema de archivos y proporciona acceso directo al sistema de archivos. Necesitamos sus tres comandos:

  • lsdel: enumera todos los inodos remotos en el sistema de archivos dado
  • gato - ver el contenido correspondiente al descriptor
  • volcado - recuperación de archivos

Ejecute debugfs en la sección requerida:

Cuando se le solicite, ingrese el comando lsdel (una taza de café no le hará daño, ya que el sistema tardará en ver la sección completa):

debugfs: lsdel
Bloques de tamaño del modo propietario de Inode Tiempo eliminado
723300 1000 100664 27018 2/7 Lunes 20 de mayo 19:08:17 2002
723301 1000 100444 1671 1/7 Martes 20 de mayo 19:08:17 2002
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
944887 1037 100600597 1/1 dom 26 de enero 20:05:00 2003
717281 1000 100400 1 1/1 Dom 26 de enero 20:05:13 2003
327101 1000 100644 15 1/1 Dom 26 de enero 20:07:06 2003

Es mejor redirigir inmediatamente la salida a un archivo ingresando el comando:

#echo lsdel | debugfs / dev / hda6> / tmp / lsdel-output

Si no ha habido operaciones con la sección desde el borrado, entonces los datos de interés estarán al final de la lista. Veamos el contenido correspondiente al último descriptor escribiendo el comando:

debugfs: gato<327101>
my_very_important_data

El archivo eliminado se encontró y contenía una sola línea. El comando dump repara el archivo escribiéndolo en el disco como
my_recovered_file:

debugfs: dump -p<327101>/ tmp / my_recovered_file

el conmutador -p indica que el archivo debe seguir siendo el mismo propietario, grupo y permisos.

Recuperar un grupo de archivos en Linux Ext2

Para restaurar un grupo de archivos, es recomendable utilizar la utilidad Tom Pike
... La instalación es estándar:

# tar zxf recovery-1.3.tar.gz
# cd recovery-1.3
# hacer
# hacer instalar

De forma predeterminada, la utilidad se instala en el sistema de directorio / usr. Si necesita instalarlo en una ubicación diferente, lea Léame. Mientras se está ejecutando la recuperación, haga algunas preguntas simples, como: quién es el propietario de los archivos, cuándo se eliminaron estos archivos, cuál es el tamaño aproximado de estos archivos, ejecuta debugfs y restaura aquellos que coinciden con los criterios dados. inodos colocándolos en un directorio especificado por el usuario. Desafortunadamente, los nombres de los archivos no se pueden recuperar. Los archivos recuperados se nombran con el prefijo de volcado seguido de un número de inodo.

¿Y qué hemos restaurado?

Para identificar los archivos recuperados, utilizamos dos cadenas de utilidades y file. El primero muestra una secuencia de caracteres ASCII extrayéndolo del archivo especificado, el segundo descubre el tipo de archivo (por ejemplo, si es un archivo o, digamos, un archivo
Posdata).

Ejecute la utilidad de archivo:

# expediente *
dump39788: directorio
dump98008: mensaje firmado de texto blindado PGP
dump80154: gzip comprimido datos, desinflados, última modificación: dom 28 de enero 03:31:21 2001, sistema operativo: Unix
dump73290: texto ASCII
dump67095 :? diff? texto de salida
dump72945: archivo JPEG
dump9773: datos de flujo de audio MPEG 1.0 capa 3, 128 kBit / s
dump8176: texto del programa ASCII C
dump58764: ejecutable de texto de script de shell Bourne
dump3223: troff o texto de entrada del preprocesador

Puede automatizar un poco el proceso mediante el uso de scripts simples como el siguiente, agregando una extensión a archivos de texto Programas C:

# para yo en? archivo * | grep? ¿Texto del programa ASCII C? | \ awk -F :? (imprimir $ 1) ??;
do mv $ i $ i.c; hecho

Después de determinar el tipo de archivo, intentaremos identificar cada archivo. Para aquellos que contienen texto, código C, sonido o imagen, puede abrir los programas apropiados e intentar adivinar el nombre original. Los archivos binarios, como los ejecutables, las bibliotecas o los archivos de bases de datos, son mucho más difíciles de identificar. Y si es más fácil no identificar archivos ejecutables o bibliotecas, sino simplemente reinstalar los que faltan, entonces tendrá que jugar con las bases de datos. En este caso, deberá utilizar la utilidad de cadenas, que muestra todas las cadenas de texto ASCII en el archivo.

# strings dump44768

A partir de la salida, puede adivinar que este archivo es una base de datos y abrirlo con el programa apropiado.

Conclusión

Recuerde, nada reemplaza las copias de seguridad regulares. Y la aplicación de los métodos discutidos en el artículo debería ser la excepción y no la regla. Créame, es un placer descender al abismo de la nada.

¿Con qué frecuencia se encontró con situaciones en las que necesitaba recuperar datos?

Eliminó accidentalmente el archivo, pero cuando era demasiado tarde para cambiar de opinión, pero no sabía cómo restaurar, como opción, instaló el sistema operativo y, sin saberlo, la distribución del disco, formateó el disco con todos los datos, música, películas, fotos caseras y otros datos. Estás desesperado sin saber si puedes restaurar todo poco a poco, pero esto es solo la parte más mínima de solucionar las consecuencias del problema que surgió, los datos en Linux se pueden restaurar y para ello existen utilidades, tanto de pago como gratuitas, y hoy discutiremos 7 utilidades que ayudarán en la recuperación de datos en Ubuntu Linux.

Además de los casos de eliminación errónea de datos, son posibles situaciones en las que el medio está dañado, aparecen sectores defectuosos en el disco, el CD está rayado, etc. En tales situaciones, también se necesitan herramientas de recuperación de datos.

Parcialmente, por supuesto, todo esto ayudó, pero la mayoría de los datos aún se perdieron, pero imagina una situación, eres un estudiante, estás preparando un trabajo final, quedan una semana o dos antes de la entrega, y tienes un difícil unidad sobre cuál fue su trabajo final, cómo proceder en esta situación.

Sé que muchos usuarios están acostumbrados a trabajar con una interfaz gráfica desde que trabajan en el sistema desde pequeños-soft, pero hoy también hablaremos de las utilidades de la consola, ya que muchos de ellos ayudan en la recuperación no peor, y en algunos situaciones aún mejores.

¿Cómo recuperar datos y qué aplicaciones debo utilizar?

Cómo recuperar datos perdidos usando TestDisk

TestDisk es un potente software gratuito de recuperación de datos. Fue diseñado principalmente para ayudar a restaurar particiones perdidas y / o restaurar la capacidad de arranque del disco si este problema es causado por software, virus o errores humanos (como eliminar accidentalmente la tabla de particiones). Es muy fácil restaurar las tablas de particiones desde TestDisk.

Qué puede hacer TestDisk:

  • Corrija la tabla de particiones, recupere particiones eliminadas;
  • Restaurar sector de arranque FAT32 desde una copia de seguridad;
  • Reconstruir (ingeniería inversa) el sector de arranque FAT12 / FAT16 / FAT32;
  • Corrija la tabla FAT;
  • Bota de reconstrucción (ingeniería inversa) Sector NTFS;
  • Recupere el sector de arranque NTFS de una copia de seguridad;
  • Recupere MFT usando el espejo MFT;
  • Defina un SuperBlock de respaldo ext2 / ext3 / ext4;
  • Recupere archivos eliminados en sistemas de archivos FAT, NTFS y ext2;
  • Copie archivos de particiones remotas FAT, NTFS y ext2 / ext3 / ext4.
  • TestDisk es adecuado tanto para principiantes como para expertos. Para aquellos que saben poco o nada sobre los métodos de recuperación de datos, TestDisk se puede utilizar para recopilar información detallada acerca de los discos que no son de arranque que luego se pueden usar para un análisis más detallado. Aquellos que ya estén familiarizados con dichos procedimientos deberían encontrar en TestDisk una herramienta útil al realizar la recuperación.

Para intentar recuperar datos, en primer lugar, instale la utilidad testdisk, abra una terminal Ctrl + Alt + T y ejecute el siguiente comando:

Sudo apt-get install testdisk

la utilidad ocupa algo un poco más de 300 kb, muy poco, después de la instalación, ejecútela allí en la terminal con el comando:

Sudo testdisk

1. Lanzado, vemos la primera ventana donde se nos ofrece mantener registros, seleccione el elemento " NO Registro"y presione el botón" Ingresar".

2. A continuación, le pide que seleccione el disco requerido, selecciónelo, la transición a través de los puntos se realiza usando las flechas arriba y abajo y la confirmación de la entrada usando el " Ingresar "... Seleccione el disco requerido, luego cambie al " Continuar"y presione la tecla" Ingresar".

3. Después de que se ofrece seleccionar el tipo de tabla de particiones, en la mayoría de los casos este es el primer elemento " Partición Intel / PC"y está seleccionado de forma predeterminada, haga clic en" Ingresar".

5. Después de eso, ejecuté el análisis muy rápido, ya que elegí una unidad flash de 14 GB para el análisis, el análisis terminó y vemos una ventana con los resultados. Para ver la lista de archivos encontrados, presione el botón con la letra " PAG"por supuesto con Diseño en inglés pag.

6. Vemos, por así decirlo, una lista de archivos y carpetas que se pueden restaurar, use las flechas del teclado para cambiar y seleccionar carpetas deseadas y archivos para copiar.

Decidimos, elegimos una carpeta para copiar, presionamos el botón con la letra "C", luego verá administrador de archivos donde se nos invita a cuál de las carpetas de la computadora para copiar los archivos. Seleccioné el directorio "Descargas", luego presioné el botón "C" nuevamente, confirmando la copia del archivo a este directorio. Eso es probablemente todo sobre la utilidad testdisk, es muy fácil de aprender, nada complicado, lo principal es la atención.

Cómo recuperar datos usando la utilidad Extundelete

Una buena utilidad, le permite recuperar archivos borrados en sistemas de archivos ext3 / ext4.

En primer lugar, instale la utilidad extundelete, ejecute el comando en la terminal:

Sudo apt-get install extundelete

En primer lugar, después de haber eliminado archivos importantes de una unidad flash o disco duro, en este caso es importante desmontar inmediatamente la partición ejecutando el comando en la terminal:

Desmontar / dev / sda

donde en lugar de id debería haber el número / identificador de su disco, para averiguarlo debe mirar la lista de particiones en el sistema, ejecutar el comando en la terminal:

Sudo fdisk -l

como resultado, veremos mucho texto, pero nos movemos hasta la parte inferior donde verá algo como esto:

Dispositivo Inicio Inicio Fin Sectores Tamaño Id Tipo / dev / sda1 4094 394020863 394016770 187.9G f W95 ext. (LBA) / dev / sda2 * 394020900 488391119 94370220 45G 7 HPFS / NTFS / exFAT / dev / sda5 4096 14335 10240 5M 17 HPFS oculto / NTFS / dev / sda6 2199552 299649023 297449472 141,9G 7 HPFS / NTFS / exFAT965 s1072 310134783 10483712 5G 82 Linux swap / Solaris / dev / sda8 310136832 394020863 83884032 40G 83 Linux

aquí estamos buscando su unidad flash o disco, como resultado, el comando resulta ser así:

Desmontar / dev / sdb1

si la unidad flash no está identificada en esta lista, puede verla ejecutando la utilidad Gparted.

Además de la opción de volver a montar los medios en modo de solo lectura

Montaje -o remontaje, ro / dev / sda

También debe crear una copia de seguridad de la partición antes de comenzar a trabajar con ella para restaurar archivos:

Dd bs = 4M si = / dev / sda de = partición. Copia de seguridad

También vale la pena agregar, debes tener disco separado en el que recuperará los datos eliminados. Debe estar ubicado en una partición separada, no en aquella en la que intentaremos recuperar datos, vaya al directorio de este nuevo disco donde recuperaremos los archivos:

CD /<путь_к_каталогу_куда_восстанавливать_данные>

Luego de las manipulaciones anteriores, ejecutamos la utilidad extundelete, donde indicamos la partición de la cual recuperaremos el archivo que fue eliminado, pero es muy importante y requiere recuperación:

Sudo extundelete / dev / sda --restore-file /<путь к файлу>/<имя_файла>

La utilidad extundelete también le permite restaurar el contenido de los directorios:

Sudo extundelete / dev / sda --restore-directory /<путь_к_директории>

Puede establecer el período de tiempo para eliminar archivos recuperables para restaurar, por ejemplo:

Sudo extundelete --después<дата>/ dev / Restaurar directorio /<путь_к_директории>

La fecha debe especificarse en hora UNIX:

Fecha -d "28 de marzo 19:34" +% s

Recuperar datos usando la utilidad GParted

Sí, esta es una poderosa utilidad de administración de discos, análoga a Acronics, no es peor y también te permite recuperar datos de los discos, para que puedas recuperar, en primer lugar, instalemos la utilidad GParted en sí, ejecute el comando en la terminal:

Sudo apt install gparted

después de eso, necesita instalar una utilidad adicional para GParted para que pueda usar la funcionalidad de recuperación de datos, en la terminal ejecute el comando:

Sudo apt install gpart

Listo. Empecemos GParted, vamos a Menú de Ubuntu - Utilidades del sistema - Administración - Gparted, o buscamos usando la búsqueda de Dash. Después de comenzar, verá sus discos actuales, seleccione el requerido, luego vaya al menú Dispositivo - Intente recuperar datos:

presiona el botón " OK"y espere a que se complete el escaneo.

Una vez completado el escaneo, verá una nueva ventana en la que se nos invita a hacer clic en el botón "Examinar" y copiar los archivos recuperados y encontrados que se mueven temporalmente al directorio "TMP", después de cerrar GParted, la carpeta se permanecen vacíos y los archivos desaparecerán, así que copie todos los archivos necesarios mientras se abre la aplicación.

Cómo recuperar fotos usando la utilidad Foremost

Foremost es una utilidad de consola que hace un muy buen trabajo recuperando archivos de cartas rotas memoria, unidades flash y discos. El programa busca archivos por parámetros como la coincidencia de ciertos códigos hexadecimales (firmas) que corresponden a ciertos formatos de archivo. Luego los copia del disco / imagen y los mueve al directorio, haciendo un informe detallado sobre cuánto de qué y dónde y desde dónde se recuperó. Tipos de archivos que principalmente se pueden recuperar: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp. También es posible reponer esta lista con sus propios formatos, pero para esto necesita editar la configuración (/etc/foremost.conf) y agregar formatos sobre los cuales el programa aún no sabe nada.

Para usar la utilidad Foremost, en primer lugar, debe instalarla, abrir una terminal Ctrl + Alt + T y ejecutar los siguientes comandos:

Sudo ante todo -t jpg, gif, png, bmp -i / dev / sdb -o ~ / dir_recovery "

separados por comas, enumeramos los formatos de archivos de fotos que deben buscarse para "jpg, gif, png, bmp", luego indicamos dónde buscar "/ dev / sdb" como puede ver, esta es una unidad flash, por lo general se ve como "/ dev / sdb1" y luego indicamos dónde restaurar los archivos encontrados "~ / dir_recovery" es como un ejemplo de un directorio que se encuentra en el directorio de inicio del usuario, por supuesto, indique su carpeta existente.

Puede leer más detalles sobre el uso de la utilidad en la comunidad Runtu de habla rusa -. Artículos: "Recuperación de archivos borrados con foremost", "Recuperación de archivos borrados en Linux".

Cómo recuperar datos usando la utilidad Scalpel

Scalpel es una colección de herramientas para la recuperación rápida de archivos. Una utilidad única, su singularidad es que no depende del sistema de archivos de ninguna manera. La utilidad busca en la base de datos archivos de todos los formatos conocidos e intenta encontrarlos en el disco de acuerdo con ciertos patrones mirando al principio y al final del archivo. Puede ayudar a la recuperación en sistemas de archivos como FATx, NTFS, ext2 / 3, así como de particiones "RAW".

Instale la utilidad, ejecute el comando en la terminal:

sudo apt instalar bisturí

la utilidad funciona de acuerdo con su patrón interno /etc/scalpel/scalpel.conf, si desea recuperar archivos de un formato determinado, debe abrir la configuración y descomentar las líneas correspondientes para este tipo de archivo. Al editar una plantilla de configuración, debe tener mucho cuidado de no romperla y no eliminar nada superfluo.

Un ejemplo de uso de Bisturí:

sudo bisturí file.iso -o dir_recovery

directorio para restaurar " dir_recovery"debe estar vacío, file.iso esto es como un ejemplo de datos que necesitamos recuperar, sabemos que teníamos una imagen con el mismo nombre exacto, podemos especificar no solo el archivo directamente, sino que también podemos especificar la ruta completa al dispositivo desde donde Necesito recuperarme, como / dev / sdb1 / nombre_directorio / nombre_directorio2 / nombre_archivo.

Cómo recuperar datos usando R-Linux

R-Linux es programa gratis para recuperar los sistemas de archivos Ext2 / Ext3 / Ext4 FS utilizados en Linux y algunos sistemas operativos (SO) Unix. Utilizada en R-Linux La tecnología de escaneo y la interfaz fácil de usar del programa para configurar los parámetros le dan al usuario un control absoluto sobre el proceso de recuperación de datos. El programa recupera datos de unidades lógicas incluso si se pierden los registros del archivo. Sin embargo, el programa carece de la capacidad de recuperar datos a través de la red, así como de la funcionalidad para la reconstrucción de matrices de discos y la recuperación de datos de ellas.

Hay dos opciones para la utilidad R-Linux: para el sistema operativo Linux y para el sistema operativo Windows. Tienen la misma funcionalidad, la única diferencia es el sistema operativo host.

R-Linux recupera los siguientes archivos:

  • Eliminado como resultado de un ataque de virus, corte de energía o daño del sistema;
  • Desde particiones dañadas o eliminadas, después de formatear una partición, incluso hasta una partición con un sistema de archivos diferente;
  • Cuando la estructura de una partición en un disco se ha modificado o dañado. En este caso, R-Linux puede escanear el disco duro, encontrar una partición previamente eliminada o dañada y solo entonces recuperar los datos de la partición encontrada.
  • Desde discos duros con una gran cantidad de sectores defectuosos. R-Linux le permite copiar información y crear una imagen de un disco completo o parte de él, y solo entonces trabajar con el archivo de imagen guardado en otro medio, como con el disco original. Esto es especialmente útil y eficaz cuando la cantidad de sectores defectuosos en el disco crece constantemente y necesita guardar inmediatamente la información restante.

Qué puede hacer R-Linux:

  • Sistema operativo host (SO):
  • Opción de sistema operativo Linux: cualquier sistema operativo Linux basado en el kernel 2.6+
  • Opción para el sistema operativo Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8 / 8.1, Windows Server 2008/2012
  • Sistemas de archivos compatibles: Ext2 / Ext3 / Ext4 FS (Linux) únicamente.
  • Reconocimiento y análisis de particiones Dinámicas (Windows 2000 / XP / 2003 / Vista / Win7), Básicas, BSD (UNIX) y esquemas de particiones APM (Apple Partition Map). Soporte para particiones dinámicas en GPT y MBR.
  • Creación de un ARCHIVO DE IMAGEN para un disco físico completo, partición o parte de él. Los archivos de imagen de disco pueden ser procesados ​​por el programa como un disco normal. Hay dos tipos de imágenes: 1) Imágenes que son una copia exacta byte a byte de un objeto (imágenes sin comprimir); estas imágenes son compatibles con Versión anterior R-Linux; 2) Imágenes comprimidas: se pueden comprimir, dividir en varios archivos y proteger con contraseña. Estas imágenes son totalmente compatibles con las imágenes creadas por R-Drive Image, pero incompatibles con versiones anteriores de R-Linux.
  • Los archivos recuperados se pueden guardar en cualquier unidad, incluida una red, accesible por el sistema operativo local.
  • Supervisión de parámetros S.M.A.R.T R-Linux puede mostrar parámetros S.M.A.R.T. (Tecnología de autocontrol, análisis e informes) para discos duros que muestran el estado de su hardware y los predicen posibles fallas... Se debe evitar cualquier carga adicional en dichos discos si aparecen advertencias del sistema S.M.A.R.T.
  • Busque versiones eliminadas de archivos. R-Linux puede buscar versiones remotas archivos usando sus tamaños, nombres, extensiones y tipos de archivos reconocidos como parámetros de búsqueda.

Si no comprende algo sobre la aplicación, puede familiarizarse con el manual de referencia en los enlaces / el manual es bastante extenso, encontrará respuestas a muchas preguntas.

Cómo instalar R-Linux

Instalar R-Linux

Una vez completada la instalación, buscamos la aplicación en Menú de Ubuntu - Utilidades del sistema - R-Linux, después del primer lanzamiento verá una aplicación en inglés, no se alarme, el soporte para "Ruso" también está presente. Ir a Menú de ayuda - Lenguaje de interfaz y seleccione ruso, ya está.

Si necesita restaurar archivos, conecte una unidad flash USB como ejemplo, verá que se detecta la unidad flash, en la barra lateral de Ubuntu, haga clic en el botón actualizar en la aplicación para ver sus medios. A continuación, seleccione la sección de nuestra unidad flash con el cursor del mouse y presione el botón " Escanear".

Como puede ver, se nos ofrece personalizar los parámetros de escaneo con más detalle, ya sea para buscar por tipos de archivo conocidos, si para mantener un registro, dónde buscar específicamente, está permitido indicar desde qué segmento de bytes comenzar a escanear, desde 0 según el estándar, o especifique sus propios datos.

El escaneo ha comenzado, estamos esperando a que se complete, no cancelamos en ningún caso, a veces puede terminar mal para una unidad flash. El escaneo está completo, luego vemos la siguiente imagen:

a continuación, en nuestra sección flash, apareció un área con el nombre " Encontrado por firma", pinchamos en esta sección con el cursor del ratón y veremos una nueva ventana:

haga clic en la línea " Archivos encontrados a partir de información sobre características típicas de su estructura de datos". Después de hacer clic en este enlace, veremos algo como lo siguiente:

seleccione los directorios que necesita y presione el botón " Restaurar marcado", Verifiqué por el bien de la prueba, la utilidad funciona bien, intente cancelar la suscripción de acuerdo con el resultado, ya que es en la práctica en una situación real cuando se pierden datos, se eliminan archivos, etc.

Cómo recuperar datos usando la utilidad R-Studio

Una utilidad paga, pero vale la pena, ya que ayudará incluso en las situaciones más difíciles.

Instalar R-Studio puede hacerlo desde nuestro repositorio mediante el enlace -.

Utilidad avanzada, la mejor con utilidades de recuperación de datos, funciona con NTFS, NTFS5, ReFS, FAT12 / 16/32, exFAT, HFS / HFS + (Macintosh), variantes Little y Big Endian de UFS1 / UFS2 (FreeBSD / OpenBSD / NetBSD / Solaris) y Ext2 / Ext3 / Ext4 FS (Linux). R-Studio también utiliza la recuperación de archivos basada en firmas (escaneo de tipos de archivos conocidos) para sistemas de archivos desconocidos o gravemente dañados. El programa le permite recuperar datos tanto localmente como en computadoras remotas a través de la red, incluso si las particiones del disco han sido formateadas, dañadas o eliminadas.

R-Studio incluye:

  • Módulo de reconstrucción RAID
  • Editor de texto / hexadecimal versátil con una amplia gama de posibilidades
  • Un módulo separado para la copia de seguridad del sistema y de los datos (copia de disco), que hace de R-Studio la solución más óptima y completa al crear una estación de trabajo para la recuperación de datos.

R-Studio recupera archivos:

  • Eliminado fuera de la Papelera o cuando la Papelera se ha vaciado;
  • Eliminado por ataque de virus o falla de energía de la computadora;
  • Después de que se haya reformateado una partición de archivos, incluso en una partición con un sistema de archivos diferente;
  • Cuando la estructura de una partición en un disco duro ha sido modificada o dañada. En este caso, utilizando el programa R-Studio, puede escanear el disco duro, encontrar una partición eliminada o dañada y solo entonces recuperar los datos de la partición encontrada.
  • Desde discos duros con una gran cantidad de sectores defectuosos. El programa de recuperación de R-Studio puede primero copiar la información y crear una imagen de todo el disco o su parte, y solo luego trabajar con el archivo de imagen guardado en otro medio, como con el disco original. Esto es especialmente útil y eficaz cuando la cantidad de sectores defectuosos en el disco crece constantemente y necesita guardar inmediatamente la información restante.
  • Por orden del Ministerio de Justicia de la Federación de Rusia del 26 de noviembre de 2015 No. 269, R-STUDIO se incluyó en la lista de requisitos para la base de equipo mínimo para varios tipos de exámenes forenses realizados en instituciones forenses presupuestarias federales del Ministerio. de Justicia de la Federación de Rusia.

Qué puede hacer la utilidad R-Studio:

  • Interfaz de usuario estándar "Explorador de Windows".
  • Sistema operativo host (SO): Windows 2000, XP, 2003 Server, Vista, 2008 Server, Windows 7, Windows 8 / 8.1 / 10, Windows Server 2012.
  • Recuperación de datos a través de la red. Los archivos se pueden recuperar a través de la red desde computadoras remotas con los sistemas operativos Win2000 / XP / 2003 / Vista / 2008 / Windows 7/8 / 8.1 / 10 / Windows Server 2012, Macintosh, Linux y UNIX.
  • Sistemas de archivos compatibles: FAT12, FAT16, FAT32, exFAT, NTFS, NTFS5, ReFS (el nuevo sistema de archivos local introducido por Microsoft en Windows 2012 Server), HFS / HFS + (Macintosh), variantes Little y Big Endian de UFS1 / UFS2 ( FreeBSD / OpenBSD / NetBSD / Solaris) y Ext2 / Ext3 / Ext4 FS (Linux).
  • Buscar mientras escanea archivos Tipos conocidos(recuperación de archivos mediante firmas): si el sistema de archivos del disco está muy dañado o es desconocido, R-Studio busca plantillas de datos (firmas de archivos) características de ciertos tipos de archivos (documentos Microsoft Office, jpgs, etc.). Si es necesario, el usuario puede agregar nuevos tipos de archivos a R-Studio.
  • Reconocimiento y análisis de esquemas de partición Basic (MBR), GPT y BSD (UNIX), así como esquemas de partición Apple. Soporte para volúmenes dinámicos (Windows 2000-2012 / 8.1 / 10) en MBR y GPT.
  • Soporta Windows Storage Spaces (Windows 8 / 8.1 y 10 / Threshold 2), software Apple RAID y Linux Logical Volume Manager (LVM / LVM2). R-Studio puede reconocer y construir automáticamente los componentes de estos administradores de disco incluso si sus bases de datos están levemente dañadas. Sus componentes con bases de datos gravemente dañadas se pueden agregar manualmente.
  • Reconstrucción de matrices de discos dañadas (RAID). Si el sistema operativo no reconoce una matriz de discos (RAID), puede crear un RAID virtual a partir de sus componentes. El programa puede procesar dicha matriz virtual como una física normal. Soporte para niveles RAID estándar: 0, 1, 4, 5, 6. Soporte para niveles anidados y no estándar: 10 (1 + 0), 1E, 5E, 5EE, 6E. Soporte de latencia de paridad para todos los niveles RAID relevantes. Soporte para diseños RAID personalizados.
  • Reconocimiento automático de parámetros RAID R-Studio es capaz de reconocer todos los parámetros para RAID 5 y 6. Esto permite al usuario resolver una de las tareas más difíciles en la recuperación RAID: determinar sus parámetros.
  • Creación de un ARCHIVO DE IMAGEN para un disco físico completo (HD), una partición o parte de él. Estos archivos de imagen se pueden comprimir y dividir en varios archivos para guardarlos en CD / DVD / Flash o FAT16 / FAT32 / exFAT. Los archivos de imagen de disco pueden ser procesados ​​por el programa como un disco normal.
  • Recuperación de datos de particiones dañadas o eliminadas, archivos cifrados (NTFS 5), corrientes alternativas datos (NTFS, NTFS 5).
  • Recuperación de datos después de:
  • lanzar FDISK o utilidades similares;
  • Ataque de virus; Daño GRASO; destrucción de MBR.
  • Reconocimiento de nombres localizados.
  • Los archivos recuperados se pueden guardar en cualquier unidad, incluida una red, accesible por el sistema operativo local. Los archivos recuperados se pueden guardar en otra unidad conectada computadora remota sin transferir a través de la red a la computadora local.
  • Vea el contenido de los archivos para evaluar las posibilidades de recuperación. El contenido de los archivos de la mayoría de los tipos (formatos) se puede ver incluso si la aplicación correspondiente no está instalada.
  • Los archivos o el contenido del disco se pueden ver y editar con el editor hexadecimal integrado. El editor admite la edición de las propiedades de los archivos NTFS.
  • Monitoreo de parámetros S.M.A.R.T. R-Studio puede mostrar parámetros S.M.A.R.T. (Tecnología de Autocontrol, Análisis y Reportes) para discos duros que muestran el estado de su hardware y predicen sus posibles fallas. Se debe evitar cualquier carga adicional en dichos discos si aparecen advertencias del sistema S.M.A.R.T.
  • Integración con DeepSpar Disk Imager, un dispositivo profesional de imágenes de disco duro especialmente diseñado para recuperar datos de discos fallidos. Esta integración brinda acceso delgado de bajo nivel a discos con un cierto nivel de falla de hardware. Además, te permite crear una imagen de disco y analizarla al mismo tiempo. Es decir, cualquier sector al que acceda R-Studio en el disco original se copiará inmediatamente al disco clonado, y todas las operaciones de recuperación de datos posteriores se realizarán en el disco clonado para evitar un mayor deterioro del disco original y reducir significativamente el tiempo de procesamiento. .

En conclusión, un par de videos sobre R-Studio:

También existen otras utilidades para recuperar información:

  1. - una herramienta de recuperación de datos que intenta extraer datos de medios disponibles pero problemáticos (con sectores defectuosos). La fuente de datos puede ser dispositivos externos(como CD, DVD y Blu-ray) y particiones del disco duro. El programa tiene la ventaja de continuar ejecutándose incluso cuando otras herramientas terminan debido a errores de E / S. Las herramientas de copia convencionales como cat, cp o dd no le permiten crear una imagen de un disco o medio extraíble si un sector no se lee.
  2. PhotoRec es una utilidad incluida en el paquete TestDisk. Diseñado para recuperar archivos dañados de tarjetas de memoria de cámaras digitales (CompactFlash, Secure Digital, SmartMedia, Memory Stick, Microdrive, MMC), unidades flash USB, discos duros y CD / DVD. Recupera archivos de los formatos gráficos más comunes, incluidos JPEG, archivos de audio que incluyen MP3, archivos de documentos en Microsoft Office, formatos PDF y HTML, y archivos que incluyen ZIP. Puede trabajar con sistemas de archivos ext2, ext3, FAT, NTFS y HFS +, y es capaz de recuperar archivos gráficos incluso si el sistema de archivos está dañado o formateado.
    Ejecuta los sistemas operativos Linux, DOS, Windows, FreeBSD, NetBSD, OpenBSD, Mac OS X y SunOS
  3. ddrescue(En Ubuntu, esta utilidad se llama gddrescue) Esta utilidad copia datos de un archivo o dispositivo de hardware que contiene los datos a otra ubicación, mientras intenta corregir cualquier error de lectura que esté presente. Ddrescue realiza operaciones básicas en modo automatico rellenando el archivo de protocolo en paralelo. Si hay dos o más copias archivos dañados, ddrescue es capaz de recuperar completamente un archivo corrigiendo todos los errores.
    ddrescue establece el tamaño del búfer de E / S en el tamaño del sector para que se pueda utilizar para recuperar datos de dispositivos sector por sector.
  4. unrm es una pequeña utilidad de consola que, bajo ciertas condiciones, puede recuperar casi el 99% de los datos eliminados (similar a la utilidad de recuperación de DOS). Antes de usarlo, lea atentamente el archivo de preguntas frecuentes y preferiblemente el Mini-CÓMO de recuperación de Linux Ext2fs. Solicitud:
    unrm [-b (sin relleno de bloque)] [- e (cada bloque)] [- f fstype] [- vW] dispositivo
  5. (OBTENGA QUE DIGO) - herramienta de recuperación de archivos para sistemas de archivos Ext2 / Ext3. Después de la instalación, se pueden restaurar los archivos actuales y los archivos recién creados en / root y / home. La utilidad permite a los usuarios recuperar todos los archivos eliminados, recuperar archivos que pertenecen a un usuario específico, volcar datos de la ubicación de los archivos y recuperar archivos de cierto tipo, por ejemplo, archivos de texto o MP3. También hay un analizador para ayudar a los usuarios durante la recuperación.
  6. DMDE- Editor de discos DM y software de recuperación de datos. Un programa para editar discos y recuperar datos. V versión gratuita todas las funciones del editor de disco, la gestión de particiones y la recuperación de archivos están disponibles, con la excepción de la posibilidad de recuperación grupal de archivos y directorios; versión completa le permite restaurar grupos de archivos y directorios mientras conserva la estructura del directorio.
  7. Rescate de Mondo... El objetivo principal de este programa es crear copias de seguridad de datos. Ella puede crear copias de seguridad en cintas magnéticas, CD, en medios remotos a través de NFS o como imágenes ISO en unidades locales... Pero en caso de daños en los datos, el programa le permite restaurarlos en su totalidad o en parte, incluso si su disco duro es inaccesible por medios convencionales.
    Mondo se ejecuta en todas las principales distribuciones de Linux y es compatible con LVM, RAID, ext2, ext3, JFS, XFS, ReiserFS, VFAT y otros sistemas de archivos. Puede restaurar la geometría del disco, garantizar la migración de datos a matrices RAID y verificar la integridad del sistema de archivos de la computadora. Además, le permite reestructurar el disco, reducir / agrandar particiones, reasignar dispositivos, agregar discos duros.
  8. El equipo de detective(TSK): un conjunto de programas (fls, icat, ffind, ifind, mmls, fsstat, etc.) para realizar análisis forenses de sistemas de archivos. TSK - Constelación UNIX instrumentos línea de comando que puede analizar el archivo Sistemas NTFS, FAT, FFS, EXT2FS y EXT3FS. TSK lee y procesa las estructuras del sistema de archivos por sí solo, por lo que el sistema operativo no necesita ser compatible con el sistema de archivos.
    Artículos: Recuperación de datos ocultos o perdidos.

Además de las enumeradas en algunos artículos, también se mencionan las utilidades Magicrescue y ntfsundelete del paquete ntfstools.

Esta lista puede resultarle muy útil si se encuentra en una situación en la que necesita recuperar datos de medios dañados. Y es aconsejable dominar al menos algunas de estas herramientas antes de que exista una necesidad urgente de utilizarlas. Para hacer esto, tiene sentido probarlos en ejemplos artificiales de eliminación de archivos, como se hizo en una de las notas que figuran en la lista de fuentes.

En conclusión, algunos consejos, que pueden ser triviales, pero ciertamente útiles, sobre cómo tratar de evitar meterse en una situación desagradable cuando se requiera el uso de los medios anteriores. Primero, puede dificultar la eliminación accidental de un archivo o directorio. Para hacer esto, hágalo que en lugar del comando rm el comando fue llamado rm -i... Esto se puede hacer usando el comando alias de la siguiente manera:

Alias ​​rm = "rm -i"

Luego, antes de realizar la eliminación, se le hará una pregunta adicional, ¿realmente la desea?

Segundo consejo: haga una copia de seguridad de sus datos con la mayor frecuencia posible, todos los días o incluso cada hora. Si sigue este consejo, en el peor de los casos, solo perderá los resultados de su trabajo que recibió durante ultima hora... Y los procedimientos de recuperación de datos en este caso serán mucho más fáciles de realizar. Puede automatizar la ejecución de estos procedimientos utilizando cron y la utilidad rsync organizando la copia periódica de archivos y directorios importantes en otro disco o partición. Alternativamente, puede utilizar la utilidad Mondo Rescue mencionada anteriormente. Por cierto, aprenderá a usarlo, lo que puede ser útil si necesita recuperar datos en una emergencia.

Y tercero: antes de intentar recuperar archivos borrados, haga una copia de la partición donde se encuentran estos archivos y trabaje con ella, no con la partición original. Si vuelve a salir mal durante el proceso de recuperación, puede empezar de nuevo. Si trabaja con la partición original, puede dañar los datos de forma irrevocable. Puedes hacer una copia de una sección usando el comando dd(Puede leer sobre el uso de este comando en el artículo de A. Dmitriev "dd: Un comando que no es similar a otros").

También vale la pena recordar que existen distribuciones especiales de Linux que se ejecutan desde CD u otros medios extraíbles y contienen conjuntos de utilidades de administración, incluidas herramientas de recuperación de datos. SystemRescue CD y Trinity Rescue Kit son ejemplos de tales distribuciones.

Creo que la lista anterior quedará desactualizada después de un tiempo, como sucedió con la lista que figura en el artículo mencionado al comienzo de esta publicación. Pero aparecerán nuevos medios, quizás más perfectos. Para mantenerse actualizado, a veces consulte el sitio del Catálogo de software de Linux o, mejor aún, ayude a mantener este catálogo actualizado. Luego, en cualquier situación anormal o rutinaria, usted u otro usuario de Linux podrán encontrar las herramientas y herramientas necesarias para resolver sus problemas.