Gjenopprett data som en Forensics Expert ved hjelp av en Ubuntu Live CD

2024 Forfatter: Geoffrey Carr | [email protected]. Sist endret: 2023-12-17 10:53

Det er mange verktøy for å gjenopprette slettede filer, men hva om du ikke kan starte opp datamaskinen din, eller hele stasjonen har blitt formatert? Vi viser deg noen verktøy som vil grave dypt og gjenopprette de mest utrykkede slettede filene, eller til og med hele harddiskpartisjoner.

Vi har vist deg enkle måter å gjenopprette utilsiktet slettede filer, selv en enkel metode som kan gjøres fra en Ubuntu Live CD, men for harddisker som har blitt sterkt skadet, vil disse metodene ikke klippe den. I denne artikkelen vil vi undersøke fire verktøy som kan gjenopprette data fra de mest ødelagte harddiskene, uavhengig av om de ble formatert for en Windows-, Linux- eller Mac-datamaskin, eller om partisjonstabellen er helt slettet.

Merk: Disse verktøyene kan ikke gjenopprette data som er overskrevet på en harddisk. Hvorvidt en slettet fil er overskrevet, avhenger av mange faktorer - jo raskere innser du at du vil gjenopprette en fil, desto mer sannsynlig vil du kunne gjøre det.

Vår oppsett

For å vise disse verktøyene har vi opprettet en liten 1 GB harddisk, med halvparten av partisjonen delt opp som ext2, et filsystem som brukes i Linux, og halvparten av partisjoneringen som FAT32, et filsystem som brukes i eldre Windows-systemer. Vi lagret ti tilfeldige bilder på hver harddisk.

Vi tørket deretter partisjonstabellen fra harddisken ved å slette partisjonene i GParted.

Installere verktøyene

Alle verktøyene vi skal bruke er i Ubuntu univers oppbevaringssted.

For å aktivere depotet, åpne Synaptic Package Manager ved å klikke System øverst til venstre og deretter Administrasjon> Synaptic Package Manager.

Klikk på Innstillinger> Oppbevaringssteder og legg til en sjekk i boksen merket "Fellesskapets vedlikeholdt Open Source-programvare (univers)".

Klikk på Lukk, og klikk deretter på Oppdater på nytt i hovedvinduet for Synaptic Package Manager. Når pakkelisten har lastet opp, og søkeindeksen gjenoppbygges, søker du etter og merker for installering en eller alle følgende pakker: Testdisk, fremst, og skalpell.

Testdisk inkluderer TestDisk, som kan gjenopprette tapte partisjoner og reparere oppstartssektorer, og PhotoRec, som kan gjenopprette mange forskjellige typer filer fra tonnevis av forskjellige filsystemer.

fremst, opprinnelig utviklet av US Air Force Office of Special Investigations, gjenoppretter filer basert på deres overskrifter og andre interne strukturer. For det meste opererer på harddisker eller kjøre bildefiler generert av ulike verktøy.

Endelig, skalpell Utfører de samme funksjonene som de fremste, men er fokusert på forbedret ytelse og lavere minnebruk. Scalpel kan kjøre bedre hvis du har en eldre maskin med mindre RAM.

Gjenopprett harddiskpartisjoner

Hvis du ikke kan montere harddisken, kan partisjonstabellen være skadet. Før du begynner å prøve å gjenopprette viktige filer, kan det være mulig å gjenopprette en eller flere partisjoner på stasjonen din, gjenopprette alle filene dine med ett trinn.

Testdisk er verktøyet for jobben. Start det ved å åpne en terminal (Programmer> Tilbehør> Terminal) og skrive inn:


sudo testdisk

Hvis du vil, kan du opprette en loggfil, selv om det ikke vil påvirke hvor mye data du gjenoppretter. Når du velger, blir du møtt med en liste over lagringsmedia på maskinen din. Du bør kunne identifisere harddisken du vil gjenopprette partisjoner fra av størrelse og etikett.

TestDisk spør deg om hvilken type partisjonstabell du vil søke etter. I de fleste tilfeller (ext2 / 3, NTFS, FAT32, etc.) bør du velge Intel og trykke Enter.

I vårt tilfelle har vår lille harddisk tidligere blitt formatert som NTFS. Utrolig, finner TestDisk denne partisjonen, selv om den ikke klarer å gjenopprette den.

Det finner også de to partisjonene vi nettopp slettet. Vi kan endre deres attributter, eller legge til flere partisjoner, men vi vil bare gjenopprette dem ved å trykke på Enter.

Hvis TestDisk ikke har funnet alle partisjonene dine, kan du prøve å gjøre et dypere søk ved å velge det alternativet med venstre og høyre piltastene. Vi hadde bare disse to partisjonene, så vi vil gjenopprette dem ved å velge Skriv og trykke Enter.

Testdisk informerer oss om at vi må starte på nytt.

Merk: Hvis Ubuntu Live CD ikke er vedvarende, må du installere eventuelle verktøy du tidligere har installert, når du starter på nytt.

Etter omstart er begge partisjonene våre tilbake til deres opprinnelige tilstander, bilder og alt.

Gjenopprett filer av bestemte typer

For de følgende eksemplene slettet vi de 10 bildene fra begge partisjonene og formaterte dem deretter.

PhotoRec

Av de tre verktøyene vi viser, PhotoRec er den mest brukervennlige, til tross for at det er et konsollbasert verktøy. For å starte utvinning av filer, åpne en terminal (Programmer> Tilbehør> Terminal) og skriv inn:


sudo photorec

For å begynne, blir du bedt om å velge en lagringsenhet for å søke. Du bør kunne identifisere riktig enhet med størrelse og etikett. Velg riktig enhet, og trykk deretter på Enter.

PhotoRec ber deg velge hvilken type partisjon som skal søkes. I de fleste tilfeller (ext2 / 3, NTFS, FAT, etc.) bør du velge Intel og trykke Enter.

Du får en liste over partisjonene på den valgte harddisken din.Hvis du vil gjenopprette alle filene på en partisjon, velg Søk og trykk Enter.

Denne prosessen kan imidlertid være veldig treg, og i vårt tilfelle ønsker vi bare å søke etter bildefiler, så i stedet bruker vi høyre piltast for å velge File Opt og trykker Enter.

PhotoRec kan gjenopprette mange forskjellige typer filer, og avvelger hver enkelt vil ta lang tid. I stedet trykker vi på "s" for å slette alle valgene, og deretter finner du de aktuelle filtypene - jpg, gif og png - og velg dem ved å trykke på høyre piltast.

Når vi har valgt disse tre, trykker vi på "b" for å lagre disse valgene.

Trykk enter for å gå tilbake til listen over harddiskpartisjoner. Vi ønsker å søke begge partisjonene våre, så vi markerer "Ingen partisjon" og "Søk", og deretter trykker du på Enter.

PhotoRec ber om et sted å lagre de gjenopprettede filene. Hvis du har en annen sunn harddisk, anbefaler vi at du lagrer de gjenopprettede filene der. Siden vi ikke gjenoppretter veldig mye, lagrer vi den på Ubuntu Live CDs skrivebord.

Merk: Ikke gjenopprett filer til harddisken du gjenoppretter fra.

PhotoRec kan gjenopprette 20 bilder fra partisjonene på harddisken vår!

Et raskt blikk i katalogen recup dir.1 som det oppretter, bekrefter at PhotoRec har gjenopprettet alle bildene våre, lagret for filnavnene.

fremst

Fremtredende er et kommandolinjeprogram uten interaktivt grensesnitt som PhotoRec, men tilbyr en rekke kommandolinjevalg for å få så mye data ut av den som kjørte som mulig.

For en full liste over alternativer som kan tweaked via kommandolinjen, åpne en terminal (Programmer> Tilbehør> Terminal) og skriv inn:


foremost –h

I vårt tilfelle er kommandolinjealternativene vi skal bruke,:

-t, en kommaseparert liste over typer filer for å søke etter. I vårt tilfelle er dette "jpeg, png, gif".
-v, muliggjør verbose-modus, noe som gir oss mer informasjon om hva som er viktigst.
-O, utdatamappen for å lagre gjenopprettede filer. I vårt tilfelle har vi opprettet en katalog kalt «fremste» på skrivebordet.
-i, inngangen som vil bli søkt etter filer. Dette kan være et disk image i flere forskjellige formater; Vi vil imidlertid bruke en harddisk, / dev / sda.

Vår fremste invokasjon er:


sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Din invokasjon vil variere avhengig av hva du søker etter og hvor du søker etter den.

Først er det mulig å gjenopprette 17 av de 20 filene som er lagret på harddisken.

Ser på filene, kan vi bekrefte at disse filene ble gjenopprettet relativt bra, selv om vi kan se noen feil i miniatyrbildet for 00622449.jpg.

En del av dette kan skyldes ext2 filsystemet. Anbefaler for det meste å bruke kommandolinjen -d for Linux-filsystemer som ext2.

Vi kjører først og fremst, og legger til alternativet -d kommandolinje til vår fremste invokasjon:


sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda

Denne gangen er det først og fremst mulighet til å gjenopprette alle 20 bilder!

En siste titt på bildene viser at bildene ble gjenopprettet uten problemer.

scalpel

Scalpel er et annet kraftig program som, som Foremost, er tungt konfigurerbar. I motsetning til fremste krever Scalpel deg å redigere en konfigurasjonsfil før du prøver å gjenopprette data.

Enhver tekstredigerer vil gjøre, men vi bruker gedit til å endre konfigurasjonsfilen. I et terminalvindu (Programmer> Tilbehør> Terminal), skriv inn:


sudo gedit /etc/scalpel/scalpel.conf

scalpel.conf inneholder informasjon om en rekke forskjellige filtyper. Bla gjennom denne filen og ukomment linjer som starter med en filtype du vil gjenopprette (dvs. fjern "#" -tegnet ved starten av disse linjene).

Lagre filen og lukk den. Gå tilbake til terminalvinduet.

Scalpel har også massevis av kommandolinjealternativer som kan hjelpe deg med å søke raskt og effektivt; Vi vil imidlertid bare definere inngangsenheten (/ dev / sda) og utdatamappen (en mappe som heter "skalpell" som vi opprettet på skrivebordet).

Vår påtalelse er:


sudo scalpel /dev/sda –o scalpel

Scalpel kan gjenopprette 18 av våre 20 filer.

En rask titt på filene skalpellet gjenopprettet viser at de fleste av filene våre ble gjenopprettet, selv om det var noen problemer (for eksempel 00000012.jpg).

Konklusjon

I vårt hurtige leketøyeksempel var TestDisk i stand til å gjenopprette to slettede partisjoner, og PhotoRec og Foremost kunne gjenopprette alle 20 slettede bilder. Scalpel gjenvunnet de fleste filene, men det er veldig sannsynlig at å spille med kommandolinjemuligheter for skalpell ville ha gjort det mulig for oss å gjenopprette alle 20 bildene.

Disse verktøyene er livreddere når noe går galt med harddisken din. Hvis dataene er på harddisken et sted, vil et av disse verktøyene spore det!