Menu
Jest wolny
Zameldować się
główny  /  Instalacja i konfiguracja/ Odzyskaj usunięte pliki w Ubuntu. Odzyskiwanie danych

Odzyskiwanie usuniętych plików w Ubuntu. Odzyskiwanie danych

Po usunięciu pliku lub sformatowaniu dysku pliki faktycznie pozostają na swoim miejscu. Usuwane są tylko informacje o tym, gdzie na dysku znajdują się te pliki. Usuwając plik z dysku, możesz narysować analogię z numerami domów. Usunięcie tabliczki z nazwą ulicy i numerem domu znacznie utrudnia znalezienie domu, a jednocześnie nie zniknie z powierzchni ziemi. Dzięki temu prawie zawsze możesz odzyskać usunięte pliki z dysku w 100%, jeśli miejsca, w których znajdują się informacje, nie zostaną nadpisane.

TestDisk może dość szybko odzyskać niektóre usunięte pliki z dysku. Nie jest tak potężny jak PhotoRec, ale szybciej znajdzie pliki i zapisze ich nazwy. To narzędzie TestDisk można znaleźć w repozytorium swojej dystrybucji Linuksa. Przypomnę, że można go wyłowić z menedżera programów lub zainstalować poleceniem z terminala.

Na Ubuntu i pochodnych:

Sudo apt-get install testdisk

Również ten program istnieje zarówno dla systemu Windows, jak i MacOS. Pakiety instalacyjne można znaleźć na stronie producenta pod adresem www.cgsecurity.org/wiki/TestDisk_Download. Są gotowe obrazy rozruchowe jako ISO do nagrywania na CD lub pendrive'a www.cgsecurity.org/wiki/TestDisk_Livecd.

Po otwarciu TestDisk zostaniesz poproszony o utworzenie nowego pliku dziennika, po prostu naciśnij enter, aby to zaakceptować.

Polecenie wywołania programu w terminalu Linux:

Bierzesz żądany dysk za pomocą klawiszy strzałek i naciśnij Enter.

W następnym menu wybierz i naciśnij enter.

Następnie wybierz Zaawansowane

Jeśli masz więcej niż jedną sekcję, musisz ją wybrać za pomocą strzałek w górę / w dół. Najprawdopodobniej potrzebujesz partycji, która ma największą liczbę sektorów.

Zobaczysz długą listę plików, które możesz spróbować odzyskać (pamiętaj, że nie wszystkie z nich można odzyskać). Listę można przewijać za pomocą klawiszy strzałek w górę / w dół oraz Page Up i Page Down. Jeśli nazwa pliku nie pasuje do okna terminala, możesz zmaksymalizować to okno.

Jeśli nie możesz znaleźć potrzebnego pliku, który został usunięty, wypróbuj go. PhotoRec to potężniejszy program do odzyskiwania, odzyska wszystkie usunięte pliki, ale nie zachowa starych nazw. Program nazywa odzyskane pliki w liczbach podczas ich przywracania.

A jeśli znajdziesz zgubiony plik w programie TestDisk, naciśnij klawisz C na klawiaturze, a następnie TestDisk zapyta, gdzie przywrócić ten plik, naciśnij Enter, a wybrany plik zostanie przywrócony. TestDisk przeniesie Cię z powrotem do listy plików do odzyskania.

Po przywróceniu plików możesz zamknąć okno programu.

TestDisk może próbować zduplikować strukturę katalogów, dzięki czemu możesz znaleźć swój plik w wielu podfolderach.

O odzyskiwanie danych z systemów plików Linux nie tylko pisał
leniwy. Aby wykonać to zadanie, istnieje wiele różnych
narzędzia, w tym narzędzie debugfs, które łatwo odzyskuje zużyte
pliki z ext2. Ale co z innymi FS? Jak odzyskać zaginiony plik z
pendrive lub pobliska partycja NTFS? Nawet najbardziej
pracowici blogerzy. Tymczasem wszystko jest bardzo proste i prozaiczne.

Nie zawsze wygodnie jest ponownie uruchomić system operacyjny w innym systemie operacyjnym
czynności sprawdzające systemy plików, przywracanie plików, zmiana rozmiaru
sekcje i wykonywać inne operacje na danych. Wyobraź sobie, że jest ich już kilka
Od lat zainstalowałeś na swoim komputerze dwa systemy operacyjne: Windows i Linux. Pierwszy
pobierasz bardzo rzadko i tylko w sytuacjach awaryjnych używasz drugiego the
codziennie i już myśli o całkowitym przejściu na Linuksa i usunięciu systemu Windows, tutaj
tylko partycja NTFS, która przechowuje skumulowane dane przez lata, przekonwertuj na ext3
nie za pomocą żadnych narzędzi. Muszę mieć dwa systemy operacyjne, bo
chociaż partycja NTFS jest dostępna z Linuksa (przy użyciu ntfs-3g), aby rozwiązać problemy
system plików nadal musisz ponownie uruchomić system Windows.

A jeśli system plików FAT na dysku flash jest objęty? Jeszcze raz
zrestartować system Windows? Lub przypadkowo usunąłeś plik w systemie plików UFS,
należące do zainstalowanego w pobliżu FreeBSD? Może jesteś systemowy
administrator, a we właściwym czasie nie było dysku odzyskiwania systemu Windows
na dłoni? Odpowiem na wszystkie pytania od razu: prawie wszystkie działania związane z powrotem z
nieistnienie systemów plików FAT, NTFS, UFS, przywracanie zapisanych w nich plików,
diagnostykę i wiele więcej można zrobić bez opuszczania Linuksa. Z tego artykułu
dowiesz się, jak to zrobić.

Zestaw narzędzi

Przed przejściem bezpośrednio do opisu procesu odzyskiwania,
diagnostyka i przywracanie martwych plików do życia, uważam za swój obowiązek zapoznanie się
Ci z listą używanych narzędzi. Po pierwsze, potrzebujemy
narzędzia do pracy z systemami plików (tworzenie, sprawdzanie, pobieranie
Informacja). Wszystkie są dystrybuowane w trzech pakietach:

1. dosfstools- narzędzia do pracy z systemami plików, takimi jak FAT.
Pakiet zawiera tylko dwa programy: mkfs.vfat (mkfs.dos) do tworzenia pliku
system i fsck.vfat (fsck.dos) w celu sprawdzenia systemu plików.

2. ufsutils- zestaw narzędzi do pracy z UFS i pochodnymi (np.
FFS używany przez FreeBSD). Zawiera osiem narzędzi, w tym mkfs.ufs,
fsck.ufs, tunefs.ufs (strojenie FS), growfs.ufs (zmiana rozmiaru) i inne.

3. ntfsprogs- różne narzędzia do pracy z NTFS. Nie zawiera
programy do tworzenia lub kompletnego sprawdzenia (możliwe podstawowe sprawdzenie) pliku
systemów, ale zawiera mnóstwo przydatnych narzędzi, takich jak ntfscp for
kopiowanie plików bez montowania partycji, "reinkarnator" plików ntfsundelete,
narzędzie do zmiany rozmiaru partycji ntfsresize, oprogramowanie do klonowania
sekcje ntfsclone i inne.

Ponadto możemy potrzebować narzędzi do pracy z twardymi partycjami.
dysk. Istnieją trzy bardziej zaawansowane programy tego typu:
rozstała się,
przeznaczone do tworzenia partycji, zmiany ich rozmiaru, przenoszenia,
tworzenie i sprawdzanie systemów plików;
gpart -
program do odzyskiwania nadpisanej tablicy partycji i
TestDysk -
analog gpart z pseudo-graficznym interfejsem i kilkoma przydatnymi funkcjami.

Należy zauważyć, że parted jest tylko ładnym opakowaniem opisanych narzędzi.
do pracy z systemami plików, więc prawie wszystko, co może zrobić parted
oni są. Co więcej, wokół samego siebie znajduje się inna owijka o nazwie
... jest
po prostu tworzy przyjazny dla użytkownika interfejs GTK w stylu Partition Magic.

W pakiecie TestDisk znajdziesz narzędzie PhotoRec dla
odzyskiwanie różnych typów plików z partycji, niezależnie od używanej
system plików. Jego zasadą działania jest wyszukiwanie i odzyskiwanie plików.
poprzez ich metadane bez analizowania struktury systemu plików. PhotoRec jest zdolny
odzyskać obrazy (bmp, jpg, png, tiff, raf, raw, rdc, x3f, crw, ctg,
orf, mrw), pliki audio (wav, au, mp3, wma), pliki wideo (avi, mov, mpg), archiwa
(bz2, tar, zip), dokumenty (doc, pdf, html, rtf), pliki źródłowe (c,
pl, sz). W pakiecie znajdziesz kilka programów tego samego typu
Zestaw Sleuth dla którego
przeprowadzana jest autopsja interfejsu internetowego.

Scenariusze użytkowania

W kolejnych sekcjach przyjrzymy się kilku typowym scenariuszom.
za pomocą opisanych narzędzi. Po pierwsze, jest to szczegółowy opis procesu
odzyskiwanie plików przy użyciu trzech różnych podejść, po drugie, naprawianie
systemy plików po awarii, po trzecie klonowanie partycji na kilka maszyn,
po czwarte opis procesu przenoszenia danych na mniejszą partycję.

Niestandardowe zmartwychwstanie

Aby przywrócić martwe pliki na NTFS, już wspomniany
ntfsundelete z pakietu ntfsprogs. Jest bardzo łatwy w użyciu i niezwykle
schludny. Jeśli przypadkowo przetarłeś plik i natychmiast odmontowałeś partycję, bądź
na pewno - ntfsundelete będzie mógł przywrócić go na swoje miejsce cały i zdrowy.

Najpierw musisz wyświetlić listę wszystkich usunięte pliki:

# ntfsundelete / dev / sda1

Trzecia kolumna danych wyjściowych wskaże procent integralności pliku. Jeśli on
równy 100% - wszystko jest w porządku, plik można przywrócić do życia cały i zdrowy;
niższa wartość oznacza, że ​​niektóre jego części zostały już nadpisane
nowe dane, więc po odzyskaniu plik będzie, jak mówią,
złamany. W niektórych przypadkach możliwość przywrócenia nawet połowy zabitych
plik może sprawić, że pogoda, na razie zajmijmy się kompletnie nienaruszonymi kopiami.
Aby to zrobić, uruchom następujące polecenie:

# ntfsundelete -p 100 / dev / sda1

Wow, jest ich tak wielu! Sprawmy, aby program wyświetlał tylko pliki,
usunięte w ciągu ostatnich 2 dni:

# ntfsundelete / dev / sda1 -p 100 -t 2d

Tak lepiej. Przywróć plik, którego numer i-węzła (pierwsza kolumna wyjściowa) to
to 11172, do katalogu / undeleted:

# ntfsundelete / dev / sda1 -u -i 11172 -d / cofnięte

Pliki można przywrócić za pomocą maski:

# ntfsundelete / dev / sda1 -u -m "* .doc"

Filtruj według długości:

# ntfsundelete / dev / hda1 -S 5k-6m

Lub możesz przywrócić wszystkie usunięte pliki, a dopiero potem to rozgryźć,
co jest co:

# ntfsundelete / dev / sda1 -u -m "*" -d / cofnięte

Program wyodrębnia pliki ze wszystkimi atrybutami, w tym nazwą i czasem utworzenia.
Korzystanie z niego to przyjemność.

Aby odzyskać dane ze wszystkich innych systemów plików, w tym FAT, UFS,
EXT3 lub jakikolwiek inny jest najwygodniejszy w użyciu PhotoRec. Uruchomić
program:

W menu głównym wybierz urządzenie eksperymentalne (na przykład / dev / sda). Pchać
i wybierz typ tablicy partycji (dla zapisów to Intel). Następnie wybierz
partycji, a na następnym ekranie - typ systemu plików (ext2 / ext3 lub inny).
Ustaw katalog, w którym chcemy umieścić odzyskane pliki i naciśnij "Y".
Katalog musi znajdować się na innej partycji/dysku, w przeciwnym razie ryzykujesz pogorszenie
sytuacji poprzez nadpisanie usuniętych plików nowymi danymi.

To wszystko, proces odzyskiwania już się rozpoczął, może trwać od 10 minut do
kilka godzin, w zależności od „starości” systemu plików i liczby
usunięte pliki. Możesz zatrzymać proces w dowolnym momencie, naciskając , i
wznów go od punktu przerwania, ponownie uruchamiając PhotoRec.

W wybranym katalogu znajdziesz mnóstwo podkatalogów o nazwach takich jak
recup_dir.1, recup_dir.2, każdy zawierający dużą liczbę plików
różne rodzaje. PhotoRec nie przywraca nazw, więc musisz majstrować
grabienie całej tej kupy.
PhotoRec ma również inne wady:

  1. Dość często ulega awarii, a pliki mogą ulec uszkodzeniu,
    dlatego należy je bezbłędnie sprawdzić pod kątem „nie do złamania”.
  2. Program wyszukuje pliki według szablonów. Jeśli usunąłeś plik, którego format
    PhotoRec nie jest obsługiwany - napisz to wszystko.

Dlatego oprócz fotoreportażu trzeba mieć pod ręką inne narzędzia.
analiza i odzyskiwanie utraconych danych. Uważa się, że najlepszy w tej dziedzinie
Narzędzia Sleuth Kit,
zawierający ogromną liczbę szerokiej gamy narzędzi, które kochają
stosować w swojej pracy różne usługi w celu zbadania przypadków włamań i
zaawansowani administratorzy systemu. Daleko nam do tego i jesteśmy zainteresowani
tylko dwa narzędzia z całego zestawu: fls i icat, przeznaczone do wyszukiwania i searching
wyodrębnianie plików (zarówno istniejących, jak i usuniętych).

Zobaczmy listę usuniętych plików za pomocą narzędzia fls:

# fls -rd / dev / sdb1
r / r * 117: dsc0005.jpg
r / r * 119: dsc0006.jpg
r / r * 122: dsc0007.jpg
r / r * 125: dsc0008.jpg
r / r * 128: dsc0009.jpg

Flaga "-r" zmusza program do rekursywnego przechodzenia przez wszystkie katalogi, a "-d"
- pokaż tylko usunięte pliki.

Najprawdopodobniej wykaz będzie bardzo długi, a ponadto będzie zawierał listę
i-węzeł, które zostały już przekazane innym plikom (linia realloc w trzeciej)
kolumna), więc przefiltrujemy ją i prześlemy do less:

# fls -rd / dev / sda1 | grep -v "(realloc)" | mniej

W trzeciej kolumnie zobaczysz numery plików i-węzłów, aw czwartej ich nazwy.
Aby wyodrębnić plik z FS, użyj polecenia icat (zamierzona jest flaga "-r"
odzyskać skasowany plik):

# icat -r / dev / sda1 1023> / home / vasya / tmp / mój_plik

Aby przywrócić wszystkie pliki, możesz użyć następującego polecenia:

# dla i w `fls -rd / dev / sda1 | grep -v "(realloc)" | \
awk ("print $3") | tr -d [:] `; do icat -r -f fat / dev / sdb1 $ i> \
/ home / vasya / tmp / inode- $ i; gotowe

Jeśli chcesz znaleźć konkretny plik, dane wyjściowe fls można po prostu „ugrzęznąć”:

# fls -rd / dev / sda1 | grep -v "(realloc)" | grep mój_plik.jpg

Fajną rzeczą w narzędziach Sleuth Kit jest to, że używają
szeroka gama metod wyszukiwania usuniętych plików i ich części. To i
analiza struktur kontrolnych systemu plików i różnych metod heurystycznych,
i dopasowywanie wzorców. W rzeczywistości dzięki zestawowi Sleuth można wrócić do
życie, nawet pliki nadpisane na ext3 (pomimo tego, że sami programiści ext3 mówią o tym)
niemożność takiej operacji).

Naprawianie systemów plików

Naprawianie uszkodzonego systemu plików jest bardzo łatwe. Dość
użyj standardowych narzędzi fsck.vfat (dla systemów plików FAT12,
FAT16 i FAT32), fsck.ufs (dla UFS, UFS2, FFS) i ntfsfix (dla NTFS).

Niestety ntfsfix nie jest w stanie całkowicie wyleczyć NTFS. Ona tylko naprawia
niektóre z jej problemów i ustawia flagę wymuszonego sprawdzania plików
system, więc nastąpi ponowne uruchomienie w systemie Windows
chkdsk dla pełnego sprawdzenia systemu plików.

Korzystając z maszyny wirtualnej, możemy uniknąć konieczności ponownego uruchamiania do
Okna. Dla tego:

  1. Uruchamiamy maszynę wirtualną i instalujemy Windows na maszynie wirtualnej
    Dysk twardy.
  2. Odmontujmy partycję zawierającą system plików NTFS.
  3. Jako pierwsi uruchamiamy maszynę wirtualną dysk twardy który
    wskazujemy dysk wirtualny z Windowsem, a drugi to nasz prawdziwy twardy
    dysk.
  4. Korzystanie ze standardu Narzędzia Windows rozpocznij sprawdzanie partycji NTFS.

Kopiowanie sekcji

Załóżmy, że kupiłeś nowy dysk twardy i chcesz przenieść wiele partycji
ze starego dysku na nowy. Jeśli zaczniesz to robić standardowymi metodami,
poprzez utworzenie nowej partycji i ręczne kopiowanie plików, ryzykujesz posiadanie
dużo problemów związanych z kodowaniem nazw plików, plikami specjalnymi,
chronione pliki, a zmarnujesz dużo czasu. Lepiej skorzystać z metody
klonowanie partycji.

Użytkownicy systemu UNIX klonują partycje za pomocą standardowego narzędzia dd, które:
może być używany w połączeniu z dowolnym systemem plików. Do tego na nowym dysku
tworzona jest sekcja, która ma identyczny rozmiar jak źródło, a polecenie „dd if = section1
of = partition2 bs = 1m ”. W ten sam sposób możesz skopiować partycję NTFS, ale w pakiecie
ntfsprogs ma lepsze narzędzie do tego celu.

Program ntfsclone ma identyczną funkcjonalność jak polecenie dd, z wyjątkiemd
dwie cechy. Po pierwsze, nie kopiuje nieprzydzielonych sekcji pliku
system, a ruch jest szybszy, a obraz partycji (jeśli tworzysz
obraz) zajmuje mniej miejsca. Po drugie, ntfsclone jest w stanie przechowywać obraz w
specjalny skompresowany plik, który można wygodnie przenieść na inne komputery.

Aby sklonować partycję, po prostu uruchom następujące polecenie:

# ntfsclone --nadpisz / dev / hda1 / dev / hdb1

I stworzyć obraz:

# ntfsclone --save-image --output backup.img / dev / hda1

Narzędzie ntfsclone jest szczególnie przydatne, jeśli zdecydujesz się skopiować zainstalowaną
Okna dla całej floty innych maszyn (klasowych lub biurowych). Dla tego
wystarczy zainstalować Windows na jednej maszynie i stworzyć obraz, który potem jest
można włożyć w kulkę i za pomocą używając Linuksa Prześlij LiveCD na inne komputery. Do
udało im się uruchomić, musisz również skopiować rekord MBR dysku:

# sfdisk -d / dev / sda> /share/sda-sfdisk.dump
# dd if = / dev / sda bs = 512 count = 1 z = / share / sda-mbr.dump

A następnie zapisz go na dysku wszystkich maszyn:

# sfdisk / dev / sda< /share/sda-sfdisk.dump
# dd if = / share / sda-mbr.dump of = / dev / sda

Transfer danych

Co zrobić, jeśli zdecydujesz się całkowicie przejść na Linuksa, ale nie chcesz
użyj różnych sztuczek i ntfs-3g, aby uzyskać dostęp do starych danych,
znajduje się na partycji NTFS? W końcu ta sekcja może zająć większość
dysk i nie ma sposobu, aby po prostu skopiować jego zawartość na nowy
partycja sformatowana za pomocą ext3 / ext4. W takim przypadku ponownie przyjdą ci z pomocą
narzędzia z pakietu ntfsprogs, a raczej jednego z nich - ntfsresize, które pozwoli
skopiuj dane w małych porcjach do nowego systemu plików, a następnie
zmniejszenie rozmiaru partycji NTFS i zwiększenie partycji ext3 / ext4. Za to ty
będziesz potrzebować trochę LiveCD zawierającego przynajmniej wersje ntfsprogs i e2fsprogs
1.41 (dla obsługi ext4, jeśli oczywiście zamierzasz przesyłać dane do
jej). Bardzo pożądane jest również, aby LiveCD zawierało świeży gparted, ponieważ
ręczna zmiana rozmiaru jest trudna i niebezpieczna (z wyjątkiem zmiany rozmiaru samego systemu plików,
zmienić rozmiar partycji za pomocą fdisk, jednego błędu i całej operacji
trzeba zacząć od nowa).

Więc startujemy z LiveCD i montujemy partycje dysku twardego. Powiedzmy, że jego
rozmiar to 120 GB. Spośród nich 80 GB to spakowana partycja NTFS i
pozostałe 30 GB (tak, dokładnie 30, po przeniesieniu marketingowych gigabajtów do
rzeczywista objętość dysku wynosi około 111 GB) - jest to partycja z
zainstalowany Linux, który zajmuje 5 GB. Oznacza to, że nasze „okno”
to około 25 GB. Przenoszenie plików z partycji NTFS na partycję ext3 / ext4 do tych
aż ich łączny rozmiar będzie równy rozmiarowi okna. W rezultacie
ta ostatnia okazuje się całkowicie pełna, a pierwsza „traci” o 25 GB.
Odmontuj obie partycje i uruchom gparted. Wybierz partycję NTFS, kliknij drugą
przycisk myszy, wybierz Zmień rozmiar / Przenieś i zmniejsz przekrój do rozmiaru okna, wybierz
ext3 / ext4-partition i zwiększ go do tego samego rozmiaru okna (partycja będzie musiała
przesuń na początek płyty, a następnie powiększ). Czyli dostajemy kolejne 25 GB
wolne miejsce, które pozwoli nam skopiować niektóre pliki, a potem jeszcze raz
Zmień rozmiar. Cztery takie przejścia i całkowicie usuwamy partycję NTFS iFS
partycję ext3 / ext4 można rozszerzyć na cały dysk.

wnioski

Jak widać, Linux może współpracować nie tylko z wieloma firmami zewnętrznymi
systemy plików, ale także wyposażone w masę narzędzi do ich modyfikacji, prowadzenia
diagnostyka i inne operacje. Nigdy nie znajdziesz się w beznadziejnej sytuacji
sytuacji, mając pod ręką LiveCD oparte na Linuksie, czyli dokładnie to, co
najświętszy Graal każdego administratora i użytkownika systemu.

WWW

Przede wszystkim inne popularne oprogramowanie dla
odzyskiwanie plików według szablonów.

www.sysresccd.org -
Płyta ratunkowa systemu zawiera wszystkie programy wymienione w artykule.

Podzielę się małym znaleziskiem, małym programem do odzyskiwania skasowanych plików. Jakiś czas temu było to bardzo potrzebne, ale niestety nie znalazłem programu Scalpel. Moim zdaniem ze wszystkich znanych mi metod jest to jedna z najprostszych. Z projektu wyłonił się Skalpel.

I tak dedykowany miłośnikom rm -rf:

Przede wszystkim nikt nie może zagwarantować, że Scalpel będzie w stanie odzyskać twoje pliki, ale są szanse.

Instalacja (ponieważ Ubuntu jest zainstalowane na testowanej maszynie, opowiem o tym):

sudo apt-get zainstaluj skalpel

Przed użyciem Skalpela edytujmy plik ustawień:
sudo nano /etc/scalpel/scalpel.conf

W nim musisz określić pliki, których typ przywrócimy (domyślnie nie jest wybrany żaden typ). Wybrałem pliki doc i pdf do odzyskania:

doc y 10000000 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1 \ x1a \ xe1 \ x00 \ x00 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1 \ x1a \ xe1 \ x00 \ x00 NEXT
doc y 10000000 \ xd0 \ xcf \ x11 \ xe0 \ xa1 \ xb1

pdf y 5000000% PDF% EOF \ x0d REWERS
pdf y 5000000% PDF% EOF \ x0a REWERS

Teraz możesz rozpocząć odzyskiwanie:

skalpel / dev / sda1 -o wyjście

-o pokazuje katalog, w którym będą przechowywane odzyskane pliki, jeśli katalog o tej samej nazwie już istnieje (i nie jest pusty) Skalpel nie uruchomi się.
/dev/sda1 - rzeczywista objętość, którą będziemy przeszukiwać w poszukiwaniu utraconych plików.
Listę można wyświetlić za pomocą polecenia mount:
[e-mail chroniony]: ~ $ zamontować
/ dev / sda1 on / wpisz ext3 (rw, relatime, błędy = remount-ro)
proc on / proc typu proc (rw, noexec, nosuid, nodev)
/ sys on / sys typ sysfs (rw, noexec, nosuid, nodev)
varrun on / var / run type tmpfs (rw, noexec, nosuid, nodev, mode = 0755)
udev on / dev wpisz tmpfs (rw, tryb = 0755)
devshm on / dev / shm wpisz tmpfs (rw)
devpts on / dev / pts wpisz devpts (rw, gid = 5, mode = 620)
lrm na /lib/modules/2.6.24-21-generic/volatile type tmpfs (rw)
/ dev / sda2 on / home typ ext3 (rw, relatime)

Po rozpracowaniu przejdź do katalogu wyjściowego i zobacz, co tam jest:

[e-mail chroniony]: ~ / wyjście $ ls -l
-rw-r - r-- 1 root root 28189 2009-03-24 14:42 audit.txt
drwxr-xr-x 2 korzeń korzeń 4096 2009-03-24 14:42 doc-3-0
drwxr-xr-x 2 korzeń główny 4096 2009-03-24 14:42 doc-3-1
drwxr-xr-x 2 korzeń główny 4096 2009-03-24 14:42 doc-3-2
drwxr-xr-x 2 korzeń główny 4096 2009-03-24 14:42 doc-4-0

drwxr-xr-x 2 korzeń root 4096 2009-03-24 14:42 pdf-5-0
drwxr-xr-x 2 korzeń root 4096 2009-03-24 14:42 pdf-6-0

Plik audit.txt zawiera informacje o przeprowadzonym odzysku:

[e-mail chroniony]: ~ / output $ cat audit.txt

Plik audytu skalpela w wersji 1.60
Rozpoczęto w Wt 24 Mar 14:16:04 2009
Wiersz poleceń:
skalpel / dev / sda1 -o wyjście

Katalog wyjściowy: / home / nazwa użytkownika / wyjście
Plik konfiguracyjny: /etc/scalpel/scalpel.conf

Cel otwarcia "/ dev / sda1"

Wyryte zostały następujące akta:
Plik Początek cięcia Długość wyodrębniona z
00053045.doc 183664640 TAK 10000000 sda1
00053046.doc 183971840 TAK 10000000 sda1

00050372.doc 203272192 NIE 208896 sda1
00050373.doc 203481088 nr 229376 sda1

Ukończono we wtorek 24 marca 14:42:41 2009

Zaglądamy do podkatalogów i widzimy (jeśli mamy szczęście) nasze pliki:

[e-mail chroniony]: ~ / wyjście / doc-3–0 $ ls -l
łącznie 25564
-rw-r - r-- 1 korzeń korzeń 307200 2009–03–24 14:42 00050348.doc
-rw-r - r-- 1 korzeń korzeń 40960 2009–03–24 14:42 00050349.doc
-rw-r - r-- 1 korzeń główny 4354 2009–03–24 14:42 00050350.doc
-rw-r - r-- 1 korzeń główny 466686 2009–03–24 14:42 00050351.doc
-rw-r - r-- 1 korzeń korzeń 176128 2009–03–24 14:42 00050352.doc

Źródło - HowtoForge (tłumaczenie bezpłatne).

Dodam od siebie, że Skalpel nie odrestaurował oczywiście wszystkiego. Ale dużo, nawet o niektórych plikach już zapomniałem. Działa bardzo wolno, podczas pracy zjada prawie cały procesor.

Skalpel może pracować z systemami plików FAT, NTFS, ext 2/3, to znaczy, że możesz odzyskać dane z partycji win.

I wreszcie, najlepszym sposobem na odzyskanie bardzo ważnych plików jest:
1. Twórz kopie zapasowe.
2. Bardzo dobrze jest pomyśleć przed usunięciem.

Szczęśliwego odzyskiwania danych!

Kłopoty zdarzają się częściej niż byśmy chcieli. Jednym z nich jest usunięcie pliku z ważnymi danymi. Co więcej, w Uniksie uważa się, że odchodzi w zapomnienie. Niestety, rzeczywiście, odzyskiwanie usuniętych plików w systemie Unix nie jest takie proste zadanie podobnie jak w systemie Windows ze znanym koszem na usunięte pliki i licznymi narzędziami od dostawców zewnętrznych (na przykład Norton Utilities). Wynika to ze specyfiki architektury systemów plików
Uniksa. Linux OS definiuje pojęcie pliku szerzej. Plik to dowolny obiekt, który ma nazwę w systemie plików. Jednym z takich obiektów jest katalog. Katalog przechowuje zarówno nazwę pliku, jak i Dodatkowe informacje o pliku - jego rozmiar, informacje o właścicielu pliku, lokalizacja na dysku, data utworzenia, data ostatniej modyfikacji, prawa dostępu i wiele więcej. Ponadto, dla wydajności, dodatkowe informacje są umieszczane w specjalnej strukturze, a w katalogu pozostaje tylko link do tej struktury. Po usunięciu pliku te dodatkowe informacje nie są fizycznie usuwane z dysku, a jedynie oznaczane jako wolne odpowiednie bloki. Dlatego istnieje potencjalna możliwość odzyskania usuniętego pliku, gdy nic nie zostało zapisane w jego lokalizacji. Postaram się zasugerować algorytm działania, gdy pojawi się taki problem.

Zakończenie dalszej pracy.

Natychmiast po zorientowaniu się, że stało się coś strasznego, przerwij dalsze prace nad partycją dysku z usuniętym plikiem. Oczywiście nie tylko Ty powinieneś przestać działać, ale także wszyscy inni użytkownicy, którzy są zalogowani do systemu. Upewnij się, że nikt inny nie może zalogować się do systemu podczas przywracania pliku (na przykład za pomocą /etc/nologin). Najważniejsze jest, aby inne procesy nie nadpisywały bloków dysku wcześniej używanych przez usunięty plik. Jest to bardziej prawdopodobne, jeśli sekcja jest prawie pełna.

Sam jest nekrofilem.

Rozważmy dwie opcje odzyskiwania. Jedna jest dość uniwersalna, stosowana najprawdopodobniej w dowolnym systemie uniksowym. Drugi jest przystosowany do pracy z systemem plików Ext2
Linuksa.

Odzyskiwanie plików o znanej zawartości

* utwórz kopię sekcji głównej i umieść ją w pliku z sekcji / export. Ta sekcja musi mieć wystarczająco dużo wolnego miejsca, aby pomieścić całą sekcję, z której plik został usunięty.

# df -k // eksport
System plików Wykorzystana liczba kilobajtów dostępna pojemność Zamontowany na
/ dev / dsk / c0t3d0s0 122070 19512 102558 16% /
/ dev / dsk / c1t0d0s0 17592638 14425963 3166675 82% / eksport
# dd if = / dev / dsk / c0t3d0s0 of = / export / recovery.dsk
263077 + 0 rekordów w
263077 + 0 rekordów wydanych
# ls -l
-rw-r-r-- 1 korzeń inny 134701056 Lipiec 1 16:54 restore.dsk

* uruchom komendę cat z przełącznikiem -n (wyjście numerów linii), której wyjście jest przekierowywane do narzędzia fgrep, które po wyszukaniu danego wzorca odetnie wszystkie niepotrzebne

# cat -n recovery.dsk | fgrep "root: x: 0: 1"
200601 root: x: 0: 1: Superużytkownik: /: / sbin / sh
202108 root: x: 0: 1: Superużytkownik: /: / sbin / sh

ciągi mogą nie zostać odnalezione ani w przypadku błędu w określeniu szablonu, ani w przypadku utraty zawartości usuniętego pliku, który mógł zostać nadpisany. W naszym przypadku, jak widać, zachowały się dwie wersje pliku.

* wyświetlaj kilka linii po znalezionym
# fgrep -A10 "root: x: 0:1" restore.dsk> passwd
# hasło kota
root: x: 0: 1: Superużytkownik: /: / sbin / sh
demon: x: 1:1 :: /:
bin: x: 2: 2 :: / usr / bin:
...

klawisze -A<число строк>oraz b<число строк>Narzędzia fgrep umożliwiają wyświetlanie wielu wierszy po (po) i przed (przed) dopasowanym wierszem. Jeśli możesz uzyskać cały plik w jednym kroku, masz szczęście. Niestety pliki są zwykle pofragmentowane, a im większy rozmiar pliku, tym większa szansa na fragmentację i większe same fragmenty. Dlatego najprawdopodobniej będziesz musiał powtórzyć opisaną procedurę, używając różnych szablonów i łącząc powstałe części. Zrozumienie, która wersja pliku zapisanego na dysku jest ostatnią, może być trudne. Jest to określane tylko poprzez przeglądanie zawartości odzyskanego pliku. Oznacza to, że musisz przywrócić wszystkie wersje pliku. Dość żmudne, ale skuteczne.

Odzyskiwanie plików w systemie Linux Ext2

Ta metoda jest używana w przypadku usunięcia za pomocą polecenia rm lub funkcji unlink i nie wymaga znajomości zawartości usuniętego pliku podczas przywracania. Do pracy potrzebujemy debuggera systemu plików debugfs, dość potężnego narzędzia, które jest zwykle używane do sprawdzania i zmieniania systemu plików i zapewnia bezpośredni dostęp do systemu plików. Potrzebujemy jej trzech poleceń:

  • lsdel - wyświetla wszystkie zdalne i-węzły w podanym systemie plików
  • cat - zobacz zawartość odpowiadającą deskryptorowi
  • dump - odzyskiwanie plików

Uruchom debugfs w wymaganej sekcji:

Po wyświetleniu monitu wprowadź polecenie lsdel (filiżanka kawy nie zaszkodzi, ponieważ system zajmie trochę czasu, aby wyświetlić całą sekcję):

debugfs: lsdel
Tryb właściciela i-węzła Rozmiar bloków Czas usunięcia
723300 1000 100664 27018 2/7 pon 20 maja 19:08:17 2002
723301 1000 100444 1671 1/7 wt 20 maja 19:08:17 2002
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
944887 1037 100600 597 1/1 niedz 26 sty 20:05:00 2003
717281 1000 100400 1 1/1 niedz 26 sty 20:05:13 2003
327101 1000 100644 15 1/1 niedz 26 sty 20:07:06 2003

Lepiej natychmiast przekierować wyjście do pliku, wpisując polecenie:

#echo lsdel | debugfs / dev / hda6> / tmp / lsdel-wyjście

Jeżeli od momentu usunięcia nie było żadnych operacji z sekcją, to interesujące nas dane znajdą się na końcu listy. Zobaczmy zawartość odpowiadającą ostatniemu deskryptorowi, wpisując polecenie:

debugfs: cat<327101>
moje_bardzo_ważne_dane

Usunięty plik został znaleziony i zawierał jedną linię. Polecenie dump naprawia plik, zapisując go na dysku jako
mój_odzyskany_plik:

debugfs: dump -p<327101>/ tmp / mój_odzyskany_plik

przełącznik -p wskazuje, że plik powinien pozostać tym samym właścicielem, grupą i uprawnieniami.

Odzyskiwanie grupy plików w Linux Ext2

Aby przywrócić grupę plików, zaleca się użycie narzędzia Tom Pike
... Instalacja jest standardowa:

# tar zxf restore-1.3.tar.gz
# odzyskiwanie cd-1,3
# Marka
# wykonaj instalację

Domyślnie narzędzie jest instalowane w systemie katalogów /usr. Jeśli musisz zainstalować go w innym miejscu - przeczytaj ReadMe. Podczas gdy działa odzyskiwanie, zadaje kilka prostych pytań, takich jak: kto jest właścicielem plików, kiedy te pliki zostały usunięte, jaki jest przybliżony rozmiar tych plików, uruchamia debugfs i odzyskuje i-węzły, które spełniają określone kryteria, umieszczając je w użytkowniku -określony katalog. Niestety, nazw plików nie można odzyskać. Odzyskane pliki są nazywane z przedrostkiem zrzutu, po którym następuje numer i-węzła.

A co przywróciliśmy?

Aby zidentyfikować odzyskane pliki, używamy dwóch ciągów narzędzi i pliku. Pierwszy wyświetla ciąg znaków ASCII przez wyodrębnienie go z podanego pliku, drugi określa typ pliku (np. czy jest to archiwum, czy powiedzmy plik
Postscriptum).

Uruchom narzędzie do plików:

# plik *
dump39788: katalog
dump98008: PGP opancerzona podpisana wiadomość tekstowa
dump80154: skompresowane dane gzip, przekłamane, ostatnia modyfikacja: niedziela 28 stycznia 03:31:21 2001, system operacyjny: Unix
dump73290: tekst ASCII
dump67095:?różnić? tekst wyjściowy
dump72945: plik JPEG
dump9773: Dane strumienia audio MPEG 1.0 warstwy 3, 128 kBit / s
dump8176: Tekst programu ASCII C
dump58764: wykonywalny tekst skryptu powłoki Bourne
dump3223: tekst wejściowy troff lub preprocesora

Możesz nieco zautomatyzować proces za pomocą prostych skryptów, takich jak poniższe, dodając rozszerzenie do pliki tekstowe Programy C:

# dla i w pliku? * | grep? Tekst programu ASCII C? | \ awk -F:?(print $1) ??;
czy mv $ i $ i.c; gotowy

Po określeniu rodzaju plików postaramy się zidentyfikować każdy plik. W przypadku tych, które zawierają tekst, kod C, dźwięk lub obraz, możesz otworzyć odpowiednie programy i spróbować odgadnąć oryginalną nazwę. Pliki binarne, takie jak pliki wykonywalne, biblioteki lub pliki baz danych, są znacznie trudniejsze do zidentyfikowania. A jeśli łatwiej jest nie identyfikować plików wykonywalnych lub bibliotek, ale po prostu ponownie zainstalować brakujące, będziesz musiał majstrować przy bazach danych. W takim przypadku będziesz musiał użyć narzędzia strings, wyświetlającego wszystkie ciągi tekstowe ASCII zawarte w pliku.

# stringi dump44768

Z danych wyjściowych można się domyślić, że ten plik jest bazą danych i otworzyć go odpowiednim programem.

Wniosek

Pamiętaj, nic nie zastąpi regularnych kopii zapasowych. A zastosowanie omówionych w artykule metod powinno być raczej wyjątkiem niż regułą. Uwierz mi, to trochę przyjemność zejść w otchłań nicości.

Jak często spotykałeś się z sytuacjami, w których musiałeś odzyskać dane?

Przypadkowo usunąłeś plik, ale gdy było już za późno na zmianę zdania, ale nie wiedziałeś, jak przywrócić, jako opcję zainstalowałeś system operacyjny i nieświadomie układ dysku, sformatowałeś dysk ze wszystkimi danymi, muzyka, filmy, zdjęcia domowe i inne dane. Rozpaczasz, nie wiedząc, czy możesz przywrócić wszystko krok po kroku, ale to tylko najmniejsza część rozwiązania konsekwencji powstałego problemu, dane w systemie Linux można przywrócić, a do tego są narzędzia, zarówno płatne, jak i bezpłatne, a dzisiaj omówimy 7 narzędzi, które pomogą w odzyskiwaniu danych w systemie Ubuntu Linux.

Oprócz przypadków błędnego usunięcia danych możliwe są sytuacje, w których nośnik jest uszkodzony, na dysku pojawiają się uszkodzone sektory, płyta CD jest porysowana i tak dalej. W takich sytuacjach potrzebne są również narzędzia do odzyskiwania danych.

Częściowo oczywiście to wszystko pomogło, ale większość danych nadal była stracona, ale wyobraź sobie sytuację, jesteś studentem, przygotowujesz pracę semestralną, do porodu został tydzień lub dwa, a masz ciężki dysku, na którym była twoja praca semestralna, jak postępować w tej sytuacji.

Wiem, że wielu użytkowników jest przyzwyczajonych do pracy z interfejsem graficznym od czasu, gdy pracują na systemie od małych softów, ale dzisiaj omówimy również narzędzia konsolowe, ponieważ wiele z nich pomaga w odzyskiwaniu nie gorzej, a w niektórych sytuacjach nawet lepiej.

Jak odzyskać dane i jakich aplikacji użyć?

Jak odzyskać utracone dane za pomocą TestDisk

TestDysk to potężne darmowe oprogramowanie do odzyskiwania danych! Został zaprojektowany przede wszystkim w celu przywrócenia utraconych partycji i/lub przywrócenia możliwości rozruchu dysku, jeśli przyczyną tego problemu jest oprogramowanie, wirusy lub błąd ludzki (np. przypadkowe usunięcie tabeli partycji). Bardzo łatwo jest przywrócić tabele partycji z TestDisk.

Co może zrobić TestDisk:

  • Popraw tabelę partycji, odzyskaj usunięte partycje;
  • Przywracać sektor rozruchowy FAT32 z kopii zapasowej;
  • Odbuduj (inżynieria wsteczna) sektor rozruchowy FAT12 / FAT16 / FAT32;
  • Popraw tabelę FAT;
  • Odbuduj (inżynier wsteczny) rozruch Sektor NTFS;
  • Odzyskaj sektor rozruchowy NTFS z kopii zapasowej;
  • Odzyskaj MFT za pomocą lustra MFT;
  • Zdefiniuj kopię zapasową SuperBlock ext2 / ext3 / ext4;
  • Odzyskaj usunięte pliki w systemach plików FAT, NTFS i ext2;
  • Kopiuj pliki ze zdalnych partycji FAT, NTFS i ext2/ext3/ext4.
  • TestDisk jest odpowiedni zarówno dla początkujących, jak i ekspertów. Dla tych, którzy wiedzą niewiele lub nic o metodach odzyskiwania danych, TestDisk może być używany do zbierania dokładna informacja o dyskach niestartowych, które można następnie wykorzystać do dalszej analizy. Ci, którzy są już zaznajomieni z takimi procedurami, powinni znaleźć TestDisk jako przydatne narzędzie podczas wykonywania odzyskiwania.

Aby spróbować odzyskać dane, najpierw zainstaluj narzędzie testdisk, otwórz terminal Ctrl + Alt + T i uruchom następujące polecenie:

Sudo apt-get install testdisk

narzędzie zajmuje trochę więcej niż 300 kb, bardzo mało, po instalacji uruchom je tam w terminalu za pomocą polecenia:

Dysk testowy Sudo

1. Uruchomiony, widzimy pierwsze okno, w którym proponuje się nam prowadzenie dzienników, wybierz element " Brak dziennika"i naciśnij przycisk" Wchodzić".

2. Następnie wyświetla monit o wybranie wymaganego dysku, wybierz go, przejście przez punkty odbywa się za pomocą strzałek w górę i w dół oraz potwierdzenie wejścia za pomocą „ Wchodzić "... Wybierz żądany dysk, a następnie przejdź do „ Kontynuować"i naciśnij klawisz" Wchodzić".

3. Po zaproponowaniu wyboru typu tabeli partycji, w większości przypadków jest to pierwsza pozycja " Partycja Intel/PC"i jest zaznaczone domyślnie, kliknij" Wchodzić".

5. Następnie bardzo szybko przeprowadziłem analizę, ponieważ wybrałem do analizy dysk flash o pojemności 14 GB, analiza zakończyła się i widzimy okno z wynikami. Aby zobaczyć listę znalezionych plików, naciśnij przycisk z literą " P"oczywiście z Układ angielski str.

6. Widzimy niejako listę plików i folderów, które można przywrócić, użyj strzałek na klawiaturze, aby przełączyć i wybrać niezbędne foldery i pliki do skopiowania.

Zdecydowaliśmy, wybraliśmy folder do skopiowania, naciśnij przycisk z literą „C”, a następnie zobaczysz menedżera plików, do którego jesteśmy zaproszeni, do którego folderu na komputerze skopiować pliki. Wybrałem katalog "Pobrane", a następnie ponownie wcisnąłem przycisk "C", potwierdzając skopiowanie pliku do tego katalogu. To chyba wszystko o narzędziu testdisk, jest bardzo łatwy do nauczenia, nic skomplikowanego, najważniejsze jest uważność.

Jak odzyskać dane za pomocą narzędzia Extundelete

Dobre narzędzie, pozwala odzyskać usunięte pliki w systemach plików ext3 / ext4.

Przede wszystkim zainstaluj narzędzie extundelete, uruchom polecenie w terminalu:

Sudo apt-get install extundelete

Przede wszystkim, po usunięciu ważnych plików z dysku flash lub dysku twardego, w takim przypadku ważne jest, aby natychmiast odmontować partycję, uruchamiając polecenie w terminalu:

Umount / dev / sda

gdzie zamiast id powinien być numer / identyfikator twojego dysku, aby się o tym dowiedzieć musisz spojrzeć na listę partycji w systemie, uruchom polecenie w terminalu:

Sudo fdisk -l

w końcu zobaczymy dużo tekstu, ale przechodzimy na sam dół, gdzie zobaczysz coś takiego:

Urządzenie Rozruch Początek Koniec Sektory Rozmiar Id Typ / dev / sda1 4094 394020863 394016770 187,9G f W95 zewn. (LBA) / dev / sda2 * 394020900 488391119 94370220 45G 7 HPFS / NTFS / exFAT / dev / sda5 4096 14335 10240 5M 17 Ukryte HPFS / NTFS / dev / sda6 2199552 299649023 297449472 141,9G 7 HPFS / NTFS / 2996510 / exFAT7 310134783 10483712 5G 82 Wymiana systemu Linux / Solaris / dev / sda8 310136832 394020863 83884032 40G 83 Linux

tutaj szukamy twojego dysku flash USB lub dysku, w rezultacie polecenie wygląda tak:

Odmontuj / dev / sdb1

jeśli dysk flash nie jest zidentyfikowany na tej liście, możesz go zobaczyć, uruchamiając narzędzie Gparted.

Jak również opcja ponownego zamontowania nośnika w trybie tylko do odczytu

Mount -o remount, ro / dev / sda

Należy również utworzyć kopię zapasową partycji przed rozpoczęciem pracy z nią w celu przywrócenia plików:

Dd bs = 4M if = / dev / sda of = partition.backup

Warto też dodać, że musisz mieć osobny dysk, na którym odzyskasz skasowane dane. Musi znajdować się na osobnej partycji, a nie na tej, na której będziemy próbować odzyskać dane, przejdź do katalogu na tym nowym dysku, w którym odzyskamy pliki:

Płyta CD /<путь_к_каталогу_куда_восстанавливать_данные>

Po powyższych manipulacjach uruchom narzędzie extundelete, w którym wskazujemy partycję, z której odzyskamy usunięty plik, ale jest to bardzo ważne i wymaga odzyskania:

Sudo extundelete / dev / sda --restore-file /<путь к файлу>/<имя_файла>

Narzędzie extundelete umożliwia również przywracanie zawartości katalogów:

Sudo extundelete / dev / sda --restore-directory /<путь_к_директории>

Możesz ustawić przywracanie ram czasowych usuwania plików do odzyskania, na przykład:

Sudo extundelete -- po<дата>/ deweloper / Przywróć katalog /<путь_к_директории>

Data musi być określona w czasie UNIX:

Data -d "28 marca 19:34" +% s

Odzyskiwanie danych za pomocą narzędzia GParted

Tak, jest to potężne narzędzie do zarządzania dyskami, analogiczne do Acronics, nie gorzej, a także pozwala odzyskać dane z dysków, dzięki czemu możesz odzyskać, przede wszystkim zainstalujmy samo narzędzie GParted, uruchom polecenie w terminalu:

Sudo apt install gparted

następnie musisz zainstalować dodatkowe narzędzie dla GParted, aby móc korzystać z funkcji odzyskiwania danych, w terminalu uruchom polecenie:

Sudo apt zainstaluj gpart

gotowy. Zacznijmy GParted, przejdź do Menu Ubuntu - Narzędzia systemowe - Administracja - Gparted lub szukamy za pomocą wyszukiwania Dash. Po uruchomieniu zobaczysz swoje bieżące dyski, wybierz żądany, a następnie przejdź do menu Urządzenie - Spróbuj odzyskać dane:

naciśnij przycisk " Dobrze"i poczekaj na zakończenie skanowania.

Po zakończeniu skanowania pojawi się nowe okno, w którym jesteśmy zaproszeni do kliknięcia przycisku „Przeglądaj” i skopiowania odzyskanych, znalezionych plików, które są tymczasowo przeniesione do katalogu „TMP”, po zamknięciu GParted folder zostanie pozostaną puste, a pliki znikną, więc skopiuj wszystkie niezbędne pliki podczas otwierania aplikacji.

Jak odzyskać zdjęcia za pomocą narzędzia Foremost

Przede wszystkim to narzędzie konsoli, które bardzo dobrze radzi sobie z odzyskiwaniem plików z uszkodzonych kart pamięci, dysków flash i dysków. Program wyszukuje pliki według parametrów, takich jak dopasowanie określonych kodów szesnastkowych (podpisów), które odpowiadają określonym formatom plików. Następnie kopiuje je z dysku/obrazu i przenosi do katalogu, robiąc szczegółowy raport, ile tego, skąd i skąd zostało odzyskane. Można odzyskać przede wszystkim typy plików: jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp. Możliwe jest również uzupełnienie tej listy własnymi formatami, ale w tym celu należy wyedytować konfigurację (/etc/foremost.conf) i dodać formaty, o których program jeszcze nic nie wie.

Aby użyć narzędzia Foremost, najpierw musisz je zainstalować, otwórz terminal Ctrl + Alt + T i uruchom następujące polecenia:

Sudo przede wszystkim -t jpg, gif, png, bmp -i / dev / sdb -o ~ / dir_recovery "

oddzielone przecinkami, wymieniliśmy formaty plików zdjęć, które należy przeszukać dla "jpg, gif, png, bmp", następnie wskazujemy, gdzie szukać "/dev / sdb", jak widać, jest to dysk flash, zwykle wygląda to tak "/dev /sdb1" a następnie wskazujemy, gdzie przywracanie znalezionych plików "~/dir_recovery" jest jak przykład katalogu, który znajduje się w katalogu domowym użytkownika, oczywiście wskazujesz swój istniejący folder.

Możesz przeczytać więcej szczegółów na temat korzystania z narzędzia w rosyjskojęzycznej społeczności Runtu -. Artykuły: "Odzyskiwanie usuniętych plików przy użyciu przede wszystkim", "Odzyskiwanie usuniętych plików w Linuksie".

Jak odzyskać dane za pomocą narzędzia Skalpel

Skalpel to zbiór narzędzi do szybkiego odzyskiwania plików. Unikalne narzędzie, jego wyjątkowość polega na tym, że w żaden sposób nie zależy od systemu plików. Narzędzie przeszukuje bazę danych w poszukiwaniu plików we wszystkich znanych formatach i próbuje je znaleźć na dysku zgodnie z określonymi wzorcami, patrząc na początek i koniec pliku. Może pomóc w odzyskaniu w takich systemach plików jak FATx, NTFS, ext2/3, a także z partycji „RAW”.

Zainstaluj narzędzie, uruchom polecenie w terminalu:

sudo apt zainstaluj skalpel

narzędzie działa zgodnie ze swoim wewnętrznym szablonem /etc/scalpel/scalpel.conf Jeśli chcesz przywrócić pliki o określonym formacie, powinieneś otworzyć konfigurację i odkomentować odpowiednie wiersze dla tego typu pliku. Podczas edytowania szablonu konfiguracji należy bardzo uważać, aby go nie złamać i nie usunąć niczego zbędnego.

Przykład użycia Skalpela:

sudo skalpel file.iso -o dir_recovery

katalog do przywrócenia " dir_recovery"musi być pusty, plik.iso to jako przykład danych, które musimy odzyskać, wiemy, że mieliśmy taki obraz o dokładnie takiej samej nazwie, możemy określić nie tylko plik bezpośrednio, ale możemy również podać pełną ścieżkę do urządzenia, z którego mamy muszę się wyzdrowieć, jak / dev / sdb1 / nazwa_katalogu / nazwa_katalogu2 / nazwa pliku.

Jak odzyskać dane za pomocą R-Linux

R-Linux jest darmowy program do odzyskiwania systemów plików Ext2 / Ext3 / Ext4 FS używanych w systemie Linux i niektórych systemach operacyjnych (OS) Unix. Używany w R-Linux Technologia skanowania i przyjazny interfejs programu w ustawianiu parametrów dają użytkownikowi całkowitą kontrolę nad procesem odzyskiwania danych. Program odzyskuje dane z istniejących dyski logiczne nawet jeśli rekordy plików zostaną utracone. Brakuje jednak w programie możliwości odzyskiwania danych przez sieć, a także rekonstrukcji macierzy dyskowych i odzyskiwania z nich danych.

Istnieją dwie opcje narzędzia R-Linux: dla systemu operacyjnego Linux i dla systemu operacyjnego Windows. Mają tę samą funkcjonalność, jedyną różnicą jest system operacyjny hosta.

R-Linux odzyskuje następujące pliki:

  • Usunięte w wyniku ataku wirusa, awarii zasilania lub uszkodzenia systemu;
  • Od uszkodzonych lub usuniętych partycji, po sformatowaniu partycji, nawet na partycję z innym systemem plików;
  • Gdy struktura partycji na dysku została zmieniona lub uszkodzona. W takim przypadku R-Linux może przeskanować dysk twardy, znaleźć wcześniej usuniętą lub uszkodzoną partycję, a dopiero potem odzyskać dane ze znalezionej partycji.
  • Z dysków twardych z dużą liczbą uszkodzonych sektorów. R-Linux umożliwia kopiowanie informacji i tworzenie obrazu całego dysku lub jego części, a dopiero potem pracę z plikiem obrazu zapisanym na innym nośniku, tak jak z oryginalnym dyskiem. Jest to szczególnie przydatne i skuteczne, gdy liczba uszkodzonych sektorów na dysku stale rośnie i konieczne jest natychmiastowe zapisanie pozostałych informacji.

Co potrafi R-Linux:

  • System operacyjny hosta (OS):
  • Opcja systemu operacyjnego Linux: dowolny system operacyjny Linux oparty na jądrze 2.6+
  • Opcja dla systemu operacyjnego Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8 / 8.1, Windows Server 2008/2012
  • Obsługiwane systemy plików: tylko Ext2 / Ext3 / Ext4 FS (Linux).
  • Rozpoznawanie i analiza partycji Dynamic (Windows 2000 / XP / 2003 / Vista / Win7), Basic, BSD (UNIX) oraz APM (Apple Partition Map). Obsługa partycji dynamicznych w GPT oraz MBR.
  • Tworzenie PLIKU OBRAZU dla całego dysku fizycznego, partycji lub jego części. Pliki obrazów dysków mogą być przetwarzane przez program jak zwykły dysk. Istnieją dwa rodzaje obrazów: 1) Obrazy, które są dokładną kopią obiektu bajt po bajcie (obrazy nieskompresowane) - takie obrazy są kompatybilne z poprzednie wersje R-Linux; 2) Skompresowane obrazy - mogą być skompresowane, podzielone na wiele plików i zabezpieczone hasłem. Takie obrazy są w pełni kompatybilne z obrazami stworzonymi przez R-Drive Image, ale niekompatybilne z poprzednimi wersjami R-Linux.
  • Odzyskane pliki można zapisać na dowolnym, w tym sieciowym, dysku dostępnym przez lokalny system operacyjny.
  • Monitorowanie parametrów S.M.A.R.T. R-Linux może wyświetlać parametry S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) dla dysków twardych, które pokazują stan ich sprzętu i go przewidują możliwe awarie... Należy unikać jakiegokolwiek dodatkowego obciążenia takich dysków, jeśli pojawią się ostrzeżenia z systemu S.M.A.R.T.
  • Wyszukaj usunięte wersje plików. R-Linux może wyszukiwać wersje zdalne pliki, używając ich rozmiarów, nazw, rozszerzeń i rozpoznanych typów plików jako parametrów wyszukiwania.

Jeśli czegoś nie rozumiesz na temat aplikacji, możesz zapoznać się z poradnikiem poprzez linki/poradnik jest dość obszerny, znajdziesz odpowiedzi na wiele pytań.

Jak zainstalować R-Linux

Zainstaluj R-Linux

Po zakończeniu instalacji szukamy aplikacji w Menu Ubuntu - Narzędzia systemowe - R-Linux, po pierwszym uruchomieniu zobaczysz aplikację w języku angielskim, nie przejmuj się, dostępna jest również obsługa „rosyjskiego”. Iść do Menu pomocy - Język interfejsu i wybierz rosyjski, gotowe.

Jeśli chcesz przywrócić pliki, podłącz dysk flash USB jako przykład, zobaczysz, że dysk flash został wykryty, na pasku bocznym Ubuntu kliknij przycisk aktualizacji w aplikacji, aby zobaczyć swoje multimedia. Następnie wybierz sekcję naszego dysku flash za pomocą kursora myszy i naciśnij „ Skanowanie".

Jak widać, oferujemy bardziej szczegółowe dostosowanie parametrów skanowania, czy wyszukiwać według znanych typów plików, czy prowadzić dziennik, gdzie konkretnie szukać, można określić, od którego segmentu bajtów ma się rozpocząć skanowanie, od 0 zgodnie ze standardem lub podaj własne dane.

Skanowanie rozpoczęte, czekamy aż się zakończy, w żadnym wypadku nie anulujemy, czasem może się to źle skończyć dla pendrive'a. Skanowanie jest zakończone, wtedy widzimy następujący obrazek:

poniżej, pod naszą sekcją flash, pojawił się obszar z nazwą „ Znalezione przez podpis”, kliknij tę sekcję kursorem myszy, a zobaczymy nowe okno:

kliknij linię " Pliki znalezione na podstawie informacji o typowych cechach ich struktury danych". Po kliknięciu tego linku zobaczymy coś takiego:

wybierz potrzebne katalogi i naciśnij przycisk " Przywróć zaznaczone", sprawdziłem na potrzeby testu, narzędzie działa dobrze, spróbuj i wypisz się zgodnie z wynikiem, jak to jest w praktyce w rzeczywistej sytuacji, gdy dane są tracone, pliki są usuwane itp.

Jak odzyskać dane za pomocą narzędzia R-Studio

Płatne narzędzie, ale warto, ponieważ pomoże nawet w najtrudniejszych sytuacjach.

Zainstaluj R-Studio możesz z naszego repozytorium pod linkiem -.

Zaawansowane narzędzie, najlepsze z narzędziami do odzyskiwania danych, współpracuje z NTFS, NTFS5, ReFS, FAT12 / 16/32, exFAT, HFS / HFS + (Macintosh), wariantami UFS1 / UFS2 Little i Big Endian (FreeBSD / OpenBSD / NetBSD / Solaris) i Ext2 / Ext3 / Ext4 FS (Linux). R-Studio wykorzystuje również odzyskiwanie plików na podstawie sygnatur (skanowanie w poszukiwaniu znanych typów plików) w przypadku poważnie uszkodzonych lub nieznanych systemów plików. Program umożliwia odzyskiwanie danych zarówno lokalnie, jak i na zdalnych komputerach przez sieć, nawet jeśli partycje dyskowe zostały sformatowane, uszkodzone lub usunięte.

R-Studio obejmuje:

  • Moduł rekonstrukcji RAID
  • Wszechstronny edytor tekstu/szesnastkowy z szerokim wachlarzem możliwości
  • Osobny moduł do backupu systemu i danych (kopiowanie dysków), co czyni R-Studio najbardziej optymalnym i kompletnym rozwiązaniem do tworzenia stacji roboczej do odzyskiwania danych.

R-Studio odzyskuje pliki:

  • Usuwane poza Koszem lub po opróżnieniu Kosza;
  • Usunięty przez atak wirusa lub awarię zasilania komputera;
  • Po sformatowaniu partycji plików, nawet na partycję z innym systemem plików;
  • Gdy struktura partycji na dysku twardym została zmieniona lub uszkodzona. W takim przypadku za pomocą programu R-Studio można przeskanować dysk twardy, znaleźć usuniętą lub uszkodzoną partycję, a dopiero potem odzyskać dane ze znalezionej partycji.
  • Z dysków twardych z dużą liczbą uszkodzonych sektorów. Program do odzyskiwania R-Studio może najpierw skopiować informacje i stworzyć obraz całego dysku lub jego części, a dopiero potem pracować z plikiem obrazu zapisanym na innym nośniku, tak jak z oryginalnym dyskiem. Jest to szczególnie przydatne i skuteczne, gdy liczba uszkodzonych sektorów na dysku stale rośnie i konieczne jest natychmiastowe zapisanie pozostałych informacji.
  • Rozporządzeniem Ministerstwa Sprawiedliwości Federacji Rosyjskiej z dnia 26 listopada 2015 r. nr 269 R-STUDIO zostało włączone do wykazu wymagań dotyczących minimalnego wyposażenia bazy materiałowo-technicznej dla kilku rodzajów badań kryminalistycznych przeprowadzanych w federalnym budżecie instytucje kryminalistyczne Ministerstwa Sprawiedliwości Federacji Rosyjskiej.

Do czego służy narzędzie R-Studio:

  • Standardowy interfejs użytkownika „Eksplorator Windows”.
  • System operacyjny hosta (OS): Windows 2000, XP, 2003 Server, Vista, 2008 Server, Windows 7, Windows 8/8.1/10, Windows Server 2012.
  • Odzyskiwanie danych przez sieć. Pliki można odzyskać przez sieć ze zdalnych komputerów z systemami operacyjnymi Win2000 / XP / 2003 / Vista / 2008 / Windows 7/8 / 8.1 / 10 / Windows Server 2012, Macintosh, Linux i UNIX.
  • Obsługiwane systemy plików: FAT12, FAT16, FAT32, exFAT, NTFS, NTFS5, ReFS (nowy lokalny system plików wprowadzony przez Microsoft w Windows 2012 Server), HFS / HFS + (Macintosh), warianty UFS1 / UFS2 Little i Big Endian ( FreeBSD / OpenBSD / NetBSD / Solaris) i Ext2 / Ext3 / Ext4 FS (Linux).
  • Wyszukiwanie podczas skanowania plików Znane typy(odzyskiwanie plików po sygnaturach): jeśli system plików na dysku jest poważnie uszkodzony lub nieznany, to R-Studio wyszukuje szablony danych (sygnatury plików) charakterystyczne dla określonych typów plików (dokumentów). Microsoft Office, jpg itp.). W razie potrzeby użytkownik może dodać nowe typy plików do R-Studio.
  • Rozpoznawanie i analiza schematów partycji Basic (MBR), GPT i BSD (UNIX) oraz schematów partycji Apple. Obsługa woluminów dynamicznych (Windows 2000-2012 / 8.1 / 10) na MBR i GPT.
  • Obsługuje Windows Storage Spaces (Windows 8 / 8.1 i 10 / Threshold 2), oprogramowanie Apple RAID i Linux Logical Volume Manager (LVM / LVM2). R-Studio może automatycznie rozpoznawać i budować komponenty tych menedżerów dysków, nawet jeśli ich bazy danych są lekko uszkodzone. Ich komponenty z poważnie uszkodzonymi bazami danych można dodawać ręcznie.
  • Rekonstrukcja uszkodzonych macierzy dyskowych (RAID). Jeśli system operacyjny nie rozpoznaje macierzy dyskowej (RAID), możesz utworzyć wirtualną macierz RAID z jej składników. Taka macierz wirtualna może być przetwarzana przez program jak normalna fizyczna.Obsługa standardowych poziomów RAID: 0, 1, 4, 5, 6. Obsługa poziomów zagnieżdżonych i niestandardowych: 10 (1+0), 1E, 5E, 5EE, 6E. Obsługa opóźnień parzystości dla wszystkich odpowiednich poziomów RAID. Obsługa niestandardowych układów RAID.
  • Automatyczne rozpoznawanie parametrów RAID R-Studio jest w stanie rozpoznać wszystkie parametry RAID 5 i 6. Pozwala to użytkownikowi na rozwiązanie jednego z najtrudniejszych zadań odzyskiwania RAID - określenie jego parametrów.
  • Tworzenie PLIKU OBRAZU dla całego dysku fizycznego (HD), partycji lub jego części. Takie pliki obrazów można skompresować i podzielić na wiele plików w celu zapisania na CD / DVD / Flash lub FAT16 / FAT32 / exFAT. Pliki obrazów dysków mogą być przetwarzane przez program jak zwykły dysk.
  • Odzyskiwanie danych z uszkodzonych lub usuniętych partycji, zaszyfrowanych plików (NTFS 5), alternatywne strumienie dane (NTFS, NTFS 5).
  • Odzyskiwanie danych po:
  • uruchamianie FDISK lub podobnych narzędzi;
  • Atak wirusa; uszkodzenie tłuszczu; zniszczenie MBR.
  • Rozpoznawanie zlokalizowanych nazw.
  • Odzyskane pliki można zapisać na dowolnym, w tym sieciowym, dysku dostępnym przez lokalny system operacyjny. Odzyskane pliki można zapisać na innym podłączonym dysku komputer zdalny bez przesyłania przez sieć do komputera lokalnego.
  • Wyświetl zawartość pliku, aby ocenić szanse na odzyskanie. Zawartość plików większości typów (formatów) można przeglądać, nawet jeśli odpowiednia aplikacja nie jest zainstalowana.
  • Pliki lub zawartość płyt można przeglądać i edytować za pomocą wbudowanego edytora szesnastkowego. Edytor obsługuje edycję właściwości plików NTFS.
  • Monitorowanie S.M.A.R.T. R-Studio może wyświetlać parametry S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) dla dysków twardych, które pokazują stan ich sprzętu i przewidują ewentualne awarie. Należy unikać jakiegokolwiek dodatkowego obciążenia takich dysków, jeśli pojawią się ostrzeżenia z systemu S.M.A.R.T.
  • Integracja z DeepSpar Disk Imager, profesjonalnym urządzeniem do obrazowania dysku twardego, zaprojektowanym specjalnie do odzyskiwania danych z uszkodzonych dysków. Ta integracja zapewnia cienki dostęp niskiego poziomu do dysków z pewnym poziomem awarii sprzętu. Co więcej, umożliwia jednoczesne tworzenie obrazu dysku i jego analizę. Oznacza to, że każdy sektor, do którego R-Studio uzyskuje dostęp na oryginalnym dysku, zostanie natychmiast skopiowany na dysk klonowany, a wszystkie kolejne operacje odzyskiwania danych zostaną wykonane na dysku klonowanym, aby zapobiec dalszemu pogarszaniu się oryginalnego dysku i znacznie zmniejszyć przetwarzanie czasu.

Podsumowując, kilka filmów o R-Studio:

Istnieją również inne narzędzia do odzyskiwania informacji:

  1. - narzędzie do odzyskiwania danych, które próbuje wyodrębnić dane z dostępnych, ale problematycznych nośników (z uszkodzonymi sektorami). Źródłem danych mogą być urządzenia zewnętrzne (takie jak CD, DVD i Blu-ray) oraz partycje dysku twardego. Program ma tę zaletę, że działa nadal, nawet gdy inne narzędzia przerywają go z powodu błędów we/wy. Konwencjonalne narzędzia do kopiowania, takie jak cat, cp lub dd, nie pozwalają na utworzenie obrazu dysku lub nośnika wymiennego, jeśli sektor nie zostanie odczytany.
  2. PhotoRec to narzędzie zawarte w pakiecie TestDisk. Przeznaczony do odzyskiwania uszkodzonych plików z kart pamięci aparatów cyfrowych (CompactFlash, Secure Digital, SmartMedia, Memory Stick, Microdrive, MMC), dysków flash USB, dysków twardych oraz CD/DVD. Odzyskuje pliki najpopularniejszych formatów graficznych, w tym JPEG, pliki audio, w tym MP3, pliki dokumentów w formacie Microsoft Office, PDF i HTML oraz archiwa, w tym ZIP. Może współpracować z systemami plików ext2, ext3, FAT, NTFS i HFS + i jest w stanie odzyskać pliki graficzne nawet wtedy, gdy system plików jest uszkodzony lub sformatowany.
    Działa na systemach operacyjnych Linux, DOS, Windows, FreeBSD, NetBSD, OpenBSD, Mac OS X i SunOS
  3. drescue(W Ubuntu to narzędzie nazywa się gddrescue) To narzędzie kopiuje dane z pliku lub urządzenia sprzętowego zawierającego dane do innej lokalizacji, jednocześnie próbując poprawić wszelkie występujące błędy odczytu. Ddrescue wykonuje podstawowe operacje w tryb automatyczny równolegle wypełniając plik dziennika. Jeśli są dwie lub więcej kopii uszkodzone pliki, ddrescue jest w stanie całkowicie odzyskać plik, naprawiając wszystkie błędy.
    ddrescue ustawia rozmiar bufora we/wy na rozmiar sektora, dzięki czemu można go używać do odzyskiwania danych z urządzeń sektor po sektorze.
  4. unrm to małe narzędzie konsoli, które w pewnych warunkach może odzyskać prawie 99% usuniętych danych (podobnie jak narzędzie przywracania DOS). Przed użyciem dokładnie przeczytaj plik FAQ, a najlepiej Linux Ext2fs Undeletion Mini-HOWTO. Podanie:
    unrm [-b (bez dopełniania bloków)] [- e (każdy blok)] [- f fstype] [- vW] urządzenie
  5. (gET it i sAY) - narzędzie do odzyskiwania plików dla systemów plików Ext2 / Ext3. Po instalacji można przywrócić bieżące pliki i nowo utworzone pliki w /root i /home. Narzędzie pozwala użytkownikom odzyskać wszystkie usunięte pliki, odzyskać pliki należące do określonego użytkownika, zrzucić dane z lokalizacji pliku i odzyskać pliki określonego typu, na przykład pliki tekstowe lub MP3. Dostępny jest również analizator, który pomaga użytkownikom podczas regeneracji.
  6. DMDE- Edytor dysków DM i oprogramowanie do odzyskiwania danych. Program do edycji dysków i odzyskiwania danych. W wersji darmowej dostępne są wszystkie funkcje edytora dysków, zarządzania partycjami i odzyskiwania plików, z wyjątkiem możliwości odzyskiwania wsadowego plików i katalogów; pełna wersja umożliwia przywracanie grup plików i katalogów z zachowaniem struktury katalogów.
  7. Ratunek Mondo... Głównym celem tego programu jest tworzenie kopii zapasowych danych. Potrafi tworzyć kopie zapasowe na taśmach magnetycznych, płytach CD, na nośnikach zdalnych przez NFS lub jako obrazy ISO włączone dyski lokalne... Ale w przypadku uszkodzenia danych program pozwala przywrócić je w całości lub w części, nawet jeśli dysk twardy jest niedostępny konwencjonalnymi środkami.
    Mondo działa na wszystkich głównych dystrybucjach Linuksa i obsługuje LVM, RAID, ext2, ext3, JFS, XFS, ReiserFS, VFAT i inne systemy plików. Może przywrócić geometrię dysku, zapewnić migrację danych do macierzy RAID i sprawdzić integralność systemu plików komputera. Ponadto umożliwia restrukturyzację dysku, zmniejszanie/powiększanie partycji, ponowne przypisywanie urządzeń, dodawanie dysków twardych.
  8. Zestaw do spania(TSK) - zestaw programów (fls, icat, ffind, ifind, mmls, fsstat itp.) do przeprowadzania analizy kryminalistycznej systemów plików. TSK - konstelacja UNIX przybory wiersz poleceń które mogą analizować systemy plików NTFS, FAT, FFS, EXT2FS i EXT3FS. TSK samodzielnie odczytuje i przetwarza struktury systemu plików, więc system operacyjny nie musi obsługiwać systemu plików.
    Artykuły: Odzyskiwanie ukrytych lub utraconych danych.

Oprócz wymienionych w niektórych artykułach wymienia się również narzędzia Magiczny ratunek i ntfsundelete z pakietu ntfstools.

Ta lista może być bardzo przydatna, jeśli znajdziesz się w sytuacji, w której musisz odzyskać dane z uszkodzonych nośników. I wskazane jest opanowanie przynajmniej niektórych z tych narzędzi, zanim pojawi się pilna potrzeba ich użycia. W tym celu warto przetestować je na sztucznych przykładach usuwania plików, jak to zrobiono w jednej z notatek podanych w spisie źródeł.

Na zakończenie kilka wskazówek, które mogą być banalne, ale na pewno przydatne, jak starać się uniknąć wpadnięcia w nieprzyjemną sytuację, gdy wymagane jest użycie powyższych środków. Po pierwsze, możesz utrudnić przypadkowe usunięcie pliku lub katalogu. Aby to zrobić, zrób tak, aby zamiast polecenia rm komenda została nazwana rm-i... Można to zrobić za pomocą polecenia alias w następujący sposób:

Alias ​​rm = "rm -i"

Następnie, przed wykonaniem usunięcia, zostaniesz poproszony o dodatkowe pytanie, czy naprawdę tego chcesz.

Druga wskazówka: twórz kopie zapasowe danych tak często, jak to możliwe, codziennie lub nawet co godzinę. Jeśli zastosujesz się do tej rady, to w najgorszym przypadku stracisz tylko te wyniki swojej pracy, które otrzymałeś w ciągu ostatniej godziny. A procedury odzyskiwania danych w tym przypadku będą znacznie łatwiejsze do wykonania. Możesz zautomatyzować wykonywanie tych procedur za pomocą crona i narzędzia rsync organizując okresowe kopiowanie ważnych plików i katalogów na inny dysk lub partycję. Alternatywnie możesz użyć wspomnianego powyżej narzędzia Mondo Rescue. Przy okazji dowiesz się, jak z niego korzystać, co może być przydatne, jeśli potrzebujesz odzyskać dane w nagłych wypadkach.

I po trzecie: przed próbą odzyskania usuniętych plików utwórz kopię partycji, na której te pliki się znajdowały, i pracuj z nią, a nie z oryginalną partycją. Jeśli znowu popełnisz błąd podczas procesu odzyskiwania, możesz zacząć od nowa. Jeśli pracujesz z oryginalną partycją, możesz nieodwracalnie uszkodzić dane. Możesz wykonać kopię sekcji za pomocą polecenia dd(o użyciu tego polecenia można przeczytać w artykule A. Dmitrieva „dd: Polecenie, które nie jest podobne do innych”).

Warto również przypomnieć, że istnieją specjalne dystrybucje Linuksa, które działają z CD lub innych nośników wymiennych i zawierają zestawy narzędzi administracyjnych, w tym narzędzia do odzyskiwania danych. Przykładami takich dystrybucji są SystemRescue CD i Trinity Rescue Kit.

Wierzę, że powyższa lista po pewnym czasie stanie się nieaktualna, tak jak stało się to z listą podaną w artykule wspomnianym na początku tego wpisu. Ale pojawią się nowe środki, może doskonalsze. Aby być na bieżąco, od czasu do czasu zaglądaj do Katalogu Oprogramowania dla Linuksa, albo jeszcze lepiej, pomóż aktualizować ten katalog. Wtedy, w każdej nietypowej lub rutynowej sytuacji, Ty lub inny użytkownik Linuksa będziecie mogli znaleźć niezbędne narzędzia i narzędzia do rozwiązania swoich problemów.