Werden Dateien nach der Ubuntu-Wiederherstellung gelöscht? Anweisungen zum Wiederherstellen gelöschter Dateien von einer Festplatte. Einige Tipps zum Wiederherstellen gelöschter Dateien in Linux mit TestDisk

Manchmal kommt es vor, dass wir löschen, wie es scheint Junk-Dateien(Bilder, Videos, Textdokumente usw.) und es dann plötzlich bereuen, weil unter der Fernbedienung, erwies sich als erforderlich. Es ist gut, wenn wir Dateien in löschen Einkaufswagen, von wo aus es sehr einfach ist, durch Drücken einer Tastenkombination wiederherzustellen Strg+z und dann alle Dateien, die drin sind Wagen werden in ihren vorherigen Ordnern wiederhergestellt, oder Sie können selektiv mit der rechten Maustaste auf klicken gewünschte Datei in Wagen und in Kontextmenü - Wiederherstellen.

Aber was tun, wenn wir die Dateien mit der Funktion entfernt haben - Dauerhaft löschen? Viele Leute denken, dass Daten für immer verloren sind. Aber das ist nicht so. In diesem Fall hilft uns das Konsolendienstprogramm Skalpell.

Skalpell ist ein einfaches, hocheffizientes Dateiwiederherstellungstool.
Skalpell ist ein Mittel schnelle Erholung Dateien, die den Anfang und das Ende von Dateien aus der Datenbank liest bekannte Formate, versucht, sie auf der Festplatte zu finden. Die Einzigartigkeit dieser Software liegt darin, dass sie unabhängig vom Dateisystem ist. Daher ist eine Wiederherstellung mit möglich FATx, NTFS, ext2/3, also mit "nackte" (rohe) Abschnitte. Das Tool kann sowohl für den Abruf digitaler Informationen als auch für die Wiederherstellung von Dateien verwendet werden.

Skalpell in den Repositories fast aller Distributionen verfügbar Linux. BEI Ubuntu und Derivate, von denen Sie es installieren können App Center oder führen Sie den Befehl im Terminal aus, um zu installieren:

sudo apt-get installiere das Skalpell

Nach der Installation finden Sie nicht im Systemmenü Skalpell, Weil Wie oben erwähnt, wird dieses Tool mit einem bestimmten Befehl vom Terminal aus gestartet. Aber bevor Sie den Befehl ausführen, um nach unwiederbringlich gelöschten Dateien zu suchen, müssen Sie in der Konfigurationsdatei skalpell.conf Entkommentieren Sie die Zeile (entfernen Sie das Nummernzeichen) mit der gewünschten Dateierweiterung (alle Dateitypen sind standardmäßig "auskommentiert"). Führen Sie den Befehl im Terminal aus, um die Konfigurationsdatei zu öffnen skalpell.conf:

sudo gedit /etc/scalpel/scalpel.conf

Notiz. In einer Mannschaft gedit(Ubuntu; LinuxMint Zimt) in den Namen ändern Texteditor Ihre Distribution ist standardmäßig installiert.

Zum Beispiel habe ich mich entschieden, nach verlorenen Bilddateien mit der Erweiterung zu suchen JPG und unkommentiert gegebene Zeile im geöffneten Editor mit der Datei skalpell.conf:

Sie können eine beliebige andere Datei auswählen. Speichern Sie die geänderte Datei ( Strg+s) und schließen Sie den Editor.

Und jetzt müssen Sie den Terminalbefehl mit dem Tool ausführen
Skalpell So suchen Sie nach verlorenen Dateien:

Sudo-Skalpell /dev/sda8 -o /home/vladimir /JPG /output/

sda8 ist eine Partition auf der Festplatte meines aktuellen Systems. Führen Sie den folgenden Befehl aus, damit Sie Ihre Partition definieren und in einem Befehl ändern können:

Das Terminal sollte alle Abschnitte der w / Festplatte anzeigen. Wie im Bild gezeigt, markiert der Pfeil, Schrägstrich oder Schrägstrich den Einhängepunkt meiner Partition - sda8, die ich in den Befehl eingegeben habe. Sie müssen Ihre markieren lassen.

/home/wladimir ist mein Name Home-Ordner. Veränderung Wladimir allein.

/JPG ist der Name des Ordners im Befehl, der auf Ihrem erstellt wird Home-Ordner, wo alle wiederhergestellten Dateien gespeichert werden, die Sie auch in Ihre eigenen ändern können.

Also führen wir den Befehl aus und warten auf das Ende der Wiederherstellung:

Wie Sie auf dem Bild sehen können, wird der Prozess zum Suchen und Wiederherstellen von Bilddateien mit der Erweiterung JPG auf meinem Computer erfolgt in zwei Schritten, sowie Zeit, abhängig von der Größe der angegebenen Partition (GB) und der Anzahl der darauf befindlichen Images.
Ich möchte gleich sagen, dass der Prozess nicht schnell ist.

Wenn die Wiederherstellung abgeschlossen ist, öffnen Sie Home-Ordner mit Administratorrechten:

Sudo-Nautilus

Anstatt von Nautilus Name Dateimanager Ihre Distribution (zum Beispiel: Linux Mint - Nemo oder saja; usw.).

Öffnen Sie den Ordner mit den wiederhergestellten Dateien, wählen und speichern Sie die benötigten Dateien, und dann können Sie den Ordner dauerhaft löschen, weil. es nimmt nur wertvollen Platz in der Partition auf der Festplatte ein.

Fazit. Ich möchte darauf hinweisen, dass das Instrument Skalpell findet alle Dateien mit der angegebenen Erweiterung, auch solche, die zuvor auf dieser Partition lagen, als andere darauf einmal installiert wurden Betriebssystem. Dieses Dienstprogramm wird auch von speziellen Diensten verwendet verschiedene Länder ggf. vom Computer nach kompromittierenden Beweisen des Benutzers zu suchen. Also egal wie wir Dateien unwiderruflich löschen, sie hinterlassen immer noch ihre Spuren auf der Festplatte.

Nur die physische Zerstörung der Festplatte bewahrt den Computerbenutzer vor der Kompromittierung von Dateien .

Quelle: 10 Ways To Recover Deleted Files In Linux (Blog http://www.goitexpert.com), 21. Juni 2007
Übersetzung: Alexander Savvin ( [E-Mail geschützt])

Ich kenne niemanden, der nicht mindestens einmal versehentlich eine Datei gelöscht und versucht hat, sie wiederherzustellen. BEI Windows-Wiederherstellung Dateien ist ein relativ einfacher Vorgang. Aber wie macht man das unter Linux? Genauer gesagt, wenn etwas von der Befehlszeile im Terminal-Bildschirm gelöscht wurde, wie kann man diese Datei wiederherstellen? In einigen Linux-Distributionen, wie Ubuntu, gibt es einen Papierkorb, die meisten anderen jedoch nicht. Gelöschte Dateien werden einfach in Vergessenheit geraten.

Hier ist ein guter Tipp für Anfänger - ändern Sie den rm-Befehl: alias rm="rm -i" Auf diese Weise fragt das System jedes Mal nach einer Bestätigung, wenn eine Datei gelöscht wird.

Der zweite Tipp ist zu tun Sicherungen. Sie können das Dienstprogramm rsync verwenden, um wichtige Verzeichnisse und Dateien auf ein anderes System oder eine andere Partition zu kopieren. Mit crontab kann dies täglich oder sogar stündlich erfolgen.

Schauen wir uns also 10 Möglichkeiten an, gelöschte Dateien wiederherzustellen:

- automatisiert einige der Schritte zur Wiederherstellung verlorener Dateien, die im Linux Ext2fs Undeletion Mini-HOWTO (übersetzt) beschrieben sind. Dieses Dienstprogramm erhöht die Wiederherstellungseffizienz erheblich. Es wird für diejenigen empfohlen, die nicht wissen, wie man Dateien wiederherstellt.
athena-delete wurde für das Athena-Projekt auf Wunsch vieler neuer UNIX-Benutzer geschrieben, die versehentlich benötigte Dateien gelöscht hatten.
unrm ist ein kleines Konsolendienstprogramm, das unter bestimmten Bedingungen fast 99 % der gelöschten Daten wiederherstellen kann (ähnlich dem Undelete-Dienstprogramm von DOS). Lesen Sie die FAQ-Datei sorgfältig durch und vorzugsweise das Linux Ext2fs Undeletion Mini-HOWTO, bevor Sie es verwenden. Verwendung: unrm [-b (keine Blockauffüllung)][-e (jeder Block)][-f fstype][-vW] Gerät
- Dateiwiederherstellungstool für Ext2/Ext3-Dateisysteme. Nach der Installation können die aktuellen Dateien und neu erstellte Dateien in /root und /home wiederhergestellt werden. Es ermöglicht Benutzern, alle wiederherzustellen gelöschte Dateien, Dateien eines bestimmten Benutzers wiederherstellen, Daten von einem Dateispeicherort sichern und Dateien eines bestimmten Typs wie Text oder MP3 wiederherstellen. Es gibt auch einen Analysator, der Benutzern bei der Wiederherstellung hilft.
ist ein interaktives Konsolentool zum Wiederherstellen von Daten aus gelöschten Dateien im ext2-Dateisystem unter Linux. Enthält eine Bibliothek, mit der Sie gelöschte Dateien nach Namen wiederherstellen können. e2undel schafft das nicht interne Strukturen ext2 und nicht erforderlich Zusätzliche Mittel. Es kann nützlich sein, ohne die interne Struktur von ext2 zu kennen. Verwendung: e2undel -d Gerät -s Pfad [-a][-t] -d Dateisystem, wo nach gelöschten Dateien gesucht werden soll -s Verzeichnis, in dem wiederhergestellte Dateien gespeichert werden -a Arbeiten Sie an allen Dateien -t versuchen Sie, den Typ der gelöschten Dateien ohne Namen zu bestimmen -l drucken Sie einfach eine Liste der gültigen Dateien in die Protokolldatei undel Das Gerät muss ausgehängt werden und der Pfad darf nicht zusammen mit dem Gerät angegeben werden.
- ermöglicht die Wiederherstellung und Konvertierung von Dateisystemen mit minimaler Nutzung von zusätzlichem Speicherplatz. Im Gegensatz zu anderen Wiederherstellungstools kopiert anyfs-tools nicht alle gefundenen Dateien auf andere Festplatten (oder Partitionen), sondern speichert einfach Informationen zur Dateiblockzuordnung in einer externen Inode-Tabelle. Nach der Wiederherstellung kann der Benutzer das beschädigte Dateisystem mithilfe von Anyfs und einer externen Inode-Tabelle einhängen und dann mit allen wiederhergestellten Dateien in einem beliebigen Programm arbeiten.
rfs ist ein Konsolenskript zum Erstellen und Aktualisieren einer lokalen Ersatzsystemfestplatte. Der Hauptzweck besteht darin, ein funktionierendes System nach einem Absturz schnell wiederherzustellen. "Schnell" bedeutet in diesem Fall die Zeit, die zum Neustart der Maschine benötigt wird. rfs ist die Abkürzung für „replication of filesystem“ (Dateisystemkopie). Ähnlich wie rsyncbackup basiert rfs auf rsync.
e2retrieve ist ein Ext2-Datenwiederherstellungstool, das mit abgeschnittenen oder teilweisen Dateisystemen arbeitet. Es ist sehr nützlich zum Abrufen von Festplattenausfalldaten von LVM. Es stellt das Dateisystem nicht wieder her, sondern extrahiert und kopiert die meisten Daten, die es aus den Rohdaten von Ext2 erhalten kann.
findfile - eine Reihe von Tools zum Wiederherstellen von Dateien in Dateisystemen mit beschädigten Verzeichnissen, Zuordnungstabellen usw. Es kann nützlich sein, wenn die Partitionstabelle beschädigt ist (oder mehr) Festplatte oder mit einer beschädigten Speicherkarte einer Digitalkamera.
TestDisk ist ein Tool zum Testen und Reparieren von Partitionen. Funktioniert mit den folgenden Partitionen: FAT12, FAT16, FAT32, Linux, Linux-Swap (Versionen 1 und 2), NTFS (Windows NT/W2k/2003), BeFS (BeOS), UFS (BSD), JFS, XFS und Netware.

Manchmal passiert es, dass wir scheinbar unnötige Dateien (Bilder, Videos, Textdokumente usw.) löschen und es dann plötzlich bereuen, weil. unter der Fernbedienung, erwies sich als erforderlich. Es ist gut, wenn wir Dateien in löschen Einkaufswagen, von wo aus es sehr einfach ist, durch Drücken einer Tastenkombination wiederherzustellen Strg+z und dann alle Dateien, die drin sind Wagen werden in ihren vorherigen Ordnern wiederhergestellt, oder Sie können selektiv durch einen Rechtsklick auf die gewünschte Datei in Wagen und im Kontextmenü - Wiederherstellen.

Aber was tun, wenn wir die Dateien mit der Funktion entfernt haben - Dauerhaft löschen? Viele Leute denken, dass Daten für immer verloren sind. Aber das ist nicht so. In diesem Fall hilft uns das Konsolendienstprogramm Skalpell.

Skalpell ist ein einfaches, hocheffizientes Dateiwiederherstellungstool.
Skalpell ist ein schnelles Dateiwiederherstellungstool, das den Anfang und das Ende von Dateien bekannter Formate aus der Datenbank liest und versucht, sie auf der Festplatte zu finden. Die Einzigartigkeit dieser Software liegt darin, dass sie unabhängig vom Dateisystem ist. Daher ist eine Wiederherstellung mit möglich FATx, NTFS, ext2/3, also mit "nackte" (rohe) Abschnitte. Das Tool kann sowohl für den Abruf digitaler Informationen als auch für die Wiederherstellung von Dateien verwendet werden.

sudo apt-get installiere das Skalpell

sudo gedit /etc/scalpel/scalpel.conf

Notiz. In einer Mannschaft gedit(Ubuntu; Linux Mint Cinnamon) in den Namen des Standard-Texteditors Ihrer Distribution ändern.

Zum Beispiel habe ich mich entschieden, nach verlorenen Bilddateien mit der Erweiterung zu suchen JPG und kommentierte diese Zeile im geöffneten Editor mit der Datei aus skalpell.conf:

Sie können eine beliebige andere Datei auswählen. Speichern Sie die geänderte Datei ( Strg+s) und schließen Sie den Editor.

Und jetzt müssen Sie den Terminalbefehl mit dem Tool ausführen
Skalpell So suchen Sie nach verlorenen Dateien:

Sudo-Skalpell /dev/sda8 -o /home/vladimir /JPG /output/

sda8 ist eine Partition auf der Festplatte meines aktuellen Systems. Führen Sie den folgenden Befehl aus, damit Sie Ihre Partition definieren und in einem Befehl ändern können:

/home/wladimir ist mein Name Home-Ordner. Veränderung Wladimir allein.

/JPG ist der Name des Ordners im Befehl, der auf Ihrem erstellt wird Home-Ordner, wo alle wiederhergestellten Dateien gespeichert werden, die Sie auch in Ihre eigenen ändern können.

Also führen wir den Befehl aus und warten auf das Ende der Wiederherstellung:

Wenn die Wiederherstellung abgeschlossen ist, öffnen Sie Home-Ordner mit Administratorrechten:

Sudo-Nautilus

Anstatt von Nautilus Geben Sie den Namen des Dateimanagers Ihrer Distribution an (z. B.: Linux Mint - Nemo oder saja; usw.).

Fazit. Ich möchte darauf hinweisen, dass das Instrument Skalpell findet alle Dateien mit der angegebenen Endung, auch solche, die zuvor auf dieser Partition lagen, als darauf einmal andere Betriebssysteme installiert waren. Dieses Dienstprogramm wird auch von Geheimdiensten verschiedener Länder verwendet, um bei Bedarf nach kompromittierenden Beweisen für einen Computerbenutzer zu suchen. Also egal wie wir Dateien unwiderruflich löschen, sie hinterlassen immer noch ihre Spuren auf der Festplatte.

Nur die physische Zerstörung der Festplatte bewahrt den Computerbenutzer vor der Kompromittierung von Dateien .

Schlechte Dinge passieren öfter, als einem lieb ist. Einer davon ist das Löschen einer Datei mit wichtigen Daten. Darüber hinaus wird in Unix davon ausgegangen, dass es in Vergessenheit gerät. Leider ist die Wiederherstellung gelöschter Dateien in Unix nicht so einfache Aufgabe, genau wie Windows mit seinem bekannten Papierkorb für gelöschte Dateien und zahlreichen Hilfsprogrammen von Drittanbietern (z. B. Norton Utilities). Dies liegt an den Besonderheiten der Architektur von Dateisystemen.
Unix. Das Linux-Betriebssystem behandelt das Konzept einer Datei umfassender. Eine Datei ist ein beliebiges Objekt, das im Dateisystem einen Namen hat. Ein solches Objekt ist ein Verzeichnis. Das Verzeichnis enthält sowohl den Dateinamen als auch Weitere Informationenüber die Datei - ihre Größe, Informationen über den Eigentümer der Datei, Speicherort auf der Festplatte, Erstellungsdatum, Datum der letzten Änderung, Zugriffsrechte und vieles mehr. Darüber hinaus werden zusätzliche Informationen aus Effizienzgründen in einer speziellen Struktur platziert, und im Katalog bleibt nur ein Link zu dieser Struktur. Beim Löschen einer Datei werden diese zusätzlichen Informationen nicht physikalisch vom Datenträger entfernt, sondern nur als freie entsprechende Blöcke markiert. Daher besteht die potenzielle Möglichkeit, eine gelöschte Datei wiederherzustellen, während nichts an ihren Speicherort geschrieben wurde. Ich werde versuchen, im Falle eines solchen Ärgernisses einen Aktionsalgorithmus anzubieten.

Beendigung der Weiterarbeit.

Stoppen Sie sofort, nachdem Sie festgestellt haben, dass etwas Schreckliches passiert ist, die weitere Arbeit an der Festplattenpartition mit der gelöschten Datei. Natürlich sollten nicht nur Sie aufhören zu arbeiten, sondern auch alle anderen Benutzer, die sich im System angemeldet haben. Ergreifen Sie Maßnahmen, um zu verhindern, dass sich jemand anderes beim System anmeldet, während Sie die Datei wiederherstellen (z. B. mit /etc/nologin). Die Hauptsache ist, zu verhindern, dass andere Prozesse die zuvor von der Remote-Datei verwendeten Festplattenblöcke überschreiben. Dies ist wahrscheinlicher, wenn die Partition fast voll ist.

Ich bin ein Nekrophiler.

Betrachten wir zwei Wiederherstellungsoptionen. Einer ist ziemlich universell, höchstwahrscheinlich in jedem anwendbar Unix-System. Der zweite wurde entwickelt, um mit dem Ext2-Dateisystem zu arbeiten
Linux.

Wiederherstellen von Dateien mit bekanntem Inhalt

* Erstellen Sie eine Kopie der Root-Partition und legen Sie sie in einer Datei von der /export-Partition ab. Diese Partition muss genügend freien Speicherplatz haben, um die gesamte Partition aufzunehmen, auf der die Datei gelöscht wurde.

# df -k//exportieren
Dateisystem Kbytes genutzte verfügbare Kapazität Montiert auf
/dev/dsk/c0t3d0s0 122070 19512 102558 16 % /
/dev/dsk/c1t0d0s0 17592638 14425963 3166675 82 % /export
# dd if=/dev/dsk/c0t3d0s0 of=/export/recover.dsk
263077+0 Datensätze in
263077+0 Datensätze ausgegeben
# ls -l
-rw-r-r-- 1 root other 134701056 1. Juli 16:54 recovery.dsk

* Führen Sie den cat-Befehl mit dem Schalter -n aus (zeigen Sie Zeilennummern an), dessen Ausgabe an das Dienstprogramm fgrep umgeleitet wird, das nach der Suche nach einem bestimmten Muster alles Unnötige abschneidet

# cat -n recovery.dsk | fgrep "root:x:0:1"
200601 root:x:0:1:Super-User:/:/sbin/sh
202108 root:x:0:1:Super-User:/:/sbin/sh

Zeilen werden möglicherweise nicht gefunden, wenn beim Angeben der Vorlage ein Fehler aufgetreten ist oder wenn der Inhalt einer entfernten Datei verloren gegangen ist und überschrieben werden könnte. In unserem Fall sind, wie wir sehen können, zwei Versionen der Datei erhalten geblieben.

* Zeigt eine Reihe von Zeilen nach der gefundenen an
# fgrep -A10 "root:x:0:1" recovery.dsk > passwd
# Katzenkennwort
root:x:0:1:Superuser:/:/sbin/sh
Dämon:x:1:1::/:
bin:x:2:2::/usr/bin:
...

Schlüssel -A<число строк>und B<число строк>Mit den fgrep-Dienstprogrammen können Sie mehrere Zeilen nach (nach) und vor (vor) einer übereinstimmenden Zeichenfolge ausgeben. Wenn Sie Ihre gesamte Datei in einem Schritt erhalten können, dann haben Sie Glück. Aber leider sind Dateien normalerweise fragmentiert, und je größer die Dateigröße, desto höher die Wahrscheinlichkeit einer Fragmentierung und desto mehr Fragmente selbst. Daher müssen Sie höchstwahrscheinlich das beschriebene Verfahren wiederholen, verschiedene Vorlagen verwenden und die resultierenden Teile kombinieren. Es kann schwierig sein zu wissen, welche Version einer auf der Festplatte gespeicherten Datei die neueste ist. Dies wird nur durch Anzeigen des Inhalts der wiederhergestellten Datei bestimmt. Das bedeutet, dass Sie alle Versionen der Datei wiederherstellen müssen. Ziemlich langweilig, aber effektiv.

Dateiwiederherstellung in Linux Ext2

Diese Methode wird beim Löschen mit dem rm-Befehl oder der Unlink-Funktion verwendet und erfordert beim Wiederherstellen keine Kenntnis des Inhalts der gelöschten Datei. Um zu arbeiten, benötigen wir den Debugger für das Dateisystem debugfs, ein ziemlich leistungsfähiges Dienstprogramm, das normalerweise zum Überprüfen und Ändern des Dateisystems verwendet wird und direkten Zugriff auf das Dateisystem bietet. Wir brauchen drei ihrer Befehle:

lsdel - listet alle entfernten Inodes auf dem gegebenen Dateisystem auf
cat - zeigt den Inhalt an, der dem Handle entspricht
dump - Dateiwiederherstellung

Führen Sie debugfs im erforderlichen Abschnitt aus:

Geben Sie an der Eingabeaufforderung den Befehl lsdel ein (eine Tasse Kaffee schadet nicht, da das System einige Zeit braucht, um die gesamte Partition anzuzeigen):

debugfs: lsdel
Inode-Eigentümermodus Größe Blöcke Zeit gelöscht
723300 1000 100664 27018 2/ 7 Mo 20. Mai 19:08:17 2002
723301 1000 100444 1671 1/7 Di 20. Mai 19:08:17 2002
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
944887 1037 100600 597 1/ 1 So. 26. Januar 20:05:00 2003
717281 1000 100400 1 1/ 1 So. 26. Januar 20:05:13 2003
327101 1000 100644 15 1/ 1 So. 26. Januar 20:07:06 2003

Es ist besser, die Ausgabe sofort in eine Datei umzuleiten, indem Sie den Befehl eingeben:

#echo lsdel | debugfs /dev/hda6 > /tmp/lsdel-output

Wenn seit dem Löschen keine Operationen mit der Partition stattgefunden haben, stehen die für uns interessanten Daten am Ende der Liste. Lassen Sie uns den Inhalt sehen, der dem letzten Deskriptor entspricht, indem Sie den Befehl eingeben:

debugfs:Kat<327101>
meine_sehr_wichtigen_daten

Gelöschte Datei gefunden, sie enthielt eine einzelne Zeile. Der Dump-Befehl stellt eine Datei wieder her, indem er sie unter dem Namen auf die Festplatte schreibt
meine_wiederhergestellte_datei:

debugfs: dump -p<327101>/tmp/meine_wiederhergestellte_Datei

Der Schalter -p gibt an, dass die Datei denselben Besitzer, dieselbe Gruppe und dieselben Berechtigungen haben sollte.

Wiederherstellen einer Gruppe von Dateien in Linux Ext2

Um eine Gruppe von Dateien wiederherzustellen, ist es ratsam, das Dienstprogramm von Tom Pike zu verwenden
. Die Installation ist Standard:

# tar zxf recovery-1.3.tar.gz
# CD-Wiederherstellung-1.3
#machen
# installiere

Standardmäßig wird das Dienstprogramm im /usr-Verzeichnissystem installiert. Wenn Sie an einem anderen Ort installieren müssen, lesen Sie die ReadMe. Stellen Sie während der Wiederherstellung einige einfache Fragen, z. B. wem die Dateien gehören, wann diese Dateien gelöscht wurden, wie groß diese Dateien ungefähr sind, führen Sie debugfs aus und stellen Sie die Inodes wieder her, die den angegebenen Kriterien entsprechen, und platzieren Sie sie in einem Verzeichnis , Benutzer angegeben. Leider können die Dateinamen nicht wiederhergestellt werden. Wiederhergestellte Dateien werden mit dem Dump-Präfix benannt, gefolgt von einer Inode-Nummer.

Was haben wir restauriert?

Um wiederhergestellte Dateien zu identifizieren, verwenden wir zwei Dienstprogrammzeichenfolgen und file. Der erste zeigt eine Folge von ASCII-Zeichen an und extrahiert sie aus der angegebenen Datei, der zweite - ermittelt den Dateityp (z. B. ob es sich um ein Archiv oder beispielsweise um eine Datei handelt
Nachsatz).

Führen Sie das Dateidienstprogramm aus:

#Datei*
dump39788: Verzeichnis
dump98008: PGP-geschützte Textnachricht mit Signatur
dump80154: gzip-komprimierte Daten, deflatiert, zuletzt geändert: Sun Jan 28 03:31:21 2001, Betriebssystem: Unix
dump73290: ASCII-Text
dump67095: ?unterschied? Ausgabetext
dump72945: JPEG-Datei
dump9773: MPEG 1.0 Layer 3 Audio Stream Daten, 128 kBit/s
dump8176: ASCII-C-Programmtext
dump58764: Bourne-Shell-Skripttext ausführbar
dump3223: troff oder Präprozessor-Eingabetext

Sie können den Prozess etwas automatisieren, indem Sie einfache Skripte wie das folgende verwenden, das eine Erweiterung hinzufügt Textdateien C-Programme:

# für i in ?file * | Grep? ASCII-C-Programmtext? | \awk -F: ?(drucke $1)??;
mach mv $i $i.c; fertig

Nachdem wir den Dateityp bestimmt haben, werden wir versuchen, jede Datei zu identifizieren. Für diejenigen, die Text, C-Code, Sound oder ein Bild enthalten, können Sie die entsprechenden Programme öffnen und versuchen, den ursprünglichen Namen zu erraten. Binäre Dateien wie ausführbare Dateien, Bibliotheken oder Datenbankdateien sind viel schwieriger zu identifizieren. Und wenn es einfacher ist, ausführbare Dateien oder Bibliotheken nicht zu identifizieren, sondern die fehlenden einfach neu zu installieren, dann müssen Sie an den Datenbanken herumbasteln. In diesem Fall müssen Sie das Zeichenketten-Dienstprogramm verwenden, das alle in der Datei enthaltenen ASCII-Textzeichenfolgen anzeigt.

#stringsdump44768

Aus dem Fazit kann man das erahnen angegebene Datei ist eine Datenbank und öffne sie mit einem geeigneten Programm.

Fazit

Denken Sie daran, nichts ersetzt regelmäßige Reservierungen. Und die Anwendung der im Artikel diskutierten Methoden sollte eher die Ausnahme als die Regel sein. Glauben Sie mir, es ist ein kleines Vergnügen, in den Abgrund des Nichts hinabzusteigen.

Manchmal kommt es vor, dass wir versehentlich Dateien löschen, die wir noch benötigen. Besonders gefährlich ist das im Linux-Terminal, denn hier landen die Dateien nicht im Papierkorb, sondern werden sofort und für immer von der Platte gelöscht.

Es ist klar, dass Sie mit Befehlen zum Löschen von Dateien vorsichtig sein müssen, aber was ist, wenn bereits alles gelöscht wurde und die Dateien wichtig waren und dringend wiederhergestellt werden müssen? In einigen Fällen ist dies möglich. In unserem heutigen Artikel werden wir uns mit der Wiederherstellung gelöschter Dateien befassen Linux-Dateien.

Jede Datei belegt einen bestimmten Platz auf der Festplatte, aber das Dateisystem gibt uns Links zu ihrem Anfang, um Zugriff auf die Datei zu erhalten, wodurch jedes Programm bereits den Inhalt der gesamten Datei erhalten kann. Es wäre ineffizient, wenn das Löschen einer Datei ihren Bereich auf der Festplatte vollständig überschreiben würde.

Stattdessen entfernt das Dateisystem einfach den Verweis auf diesen Bereich von seiner Basis und markiert dann den Bereich, in dem sich die Datei befand, als unveränderlich. Aber tatsächlich sind alle Ihre Dateien immer noch da. Daraus schließen wir, dass, wenn nach dem Löschen das Dateisystem sehr schnell in den Nur-Lesen-Modus geschaltet wird, alle gelöschten Dateien wiederhergestellt werden können.

Wenn Sie mit diesem Dateisystem gearbeitet haben und die Daten auf der Festplatte von anderen überschrieben wurden, werden Sie selbst nichts speichern. Sie haben vielleicht gehört, dass Geheimdienste Daten wiederherstellen können, die mehrmals durch die magnetische Restspur auf der Festplatte überschrieben wurden. Es ist wirklich so. Aber um ein solches Problem zu lösen, ist eine spezielle Ausrüstung erforderlich, mehrere Programme reichen hier nicht aus, es wird ein spezieller Laser benötigt, der die magnetische Spur entlang der Gleisränder und andere Ausrüstung lesen kann. Sie können diese Methode also für sich selbst vergessen.

Nun, wir werden bei stoppen Software-Wiederherstellung wenn die Daten formell gelöscht wurden, aber noch physisch intakt und sicher auf der Festplatte sind. Betrachten Sie als Nächstes mehrere Dienstprogramme, mit denen Sie gelöschte Linux-Dateien wiederherstellen können.

1.Safecopy

Safecopy ist ein ziemlich einfaches Datenwiederherstellungstool, das einfach Daten von einem Ort zum anderen kopiert. Das Dienstprogramm als solches stellt keine einzelnen Dateien wieder her. Es ermöglicht Ihnen einfach, Daten von einem beschädigten Gerät auf ein normales zu kopieren.

Der Unterschied zwischen diesem Dienstprogramm und anderen Kopierprogrammen besteht darin, dass Safecopy nicht beendet wird, wenn es auf Fehler stößt, sei es ein fehlerhafter Lesevorgang oder ein fehlerhafter Sektor. Es bietet viele zusätzliche Anpassungsoptionen sowie die Möglichkeit, ein Dateisystem-Image von beschädigten Medien zu erstellen. Daten werden sorgfältig und so schnell wie möglich wiederhergestellt.

Das Dienstprogramm kann aus den offiziellen Repositorys Ihrer Distribution installiert werden. Ubuntu-Benutzer können diesen Befehl verwenden:

sudo apt install safecopy

Sie werden hier keine gelöschten Dateien wiederherstellen, aber Sie können beschädigte Daten kopieren. Bei Video beispielsweise spielen ein paar Beschädigungen keine große Rolle. Um die Dateiwiederherstellung unter Linux von der /dev/sda1-Partition zu starten, führen Sie Folgendes aus:

sudo safecopy /dev/sda1 /home/files/

Alle Dateien, die kopiert werden können, befinden sich in /home/files/.

TestDisk ist sehr leistungsfähiges Werkzeug zur Datenwiederherstellung. Es versucht nicht, Daten von einem beschädigten Gerät zu kopieren, sondern behebt Fehler und Probleme auf Partitionsebene, die Ihre Daten beeinträchtigen könnten.

Das Dienstprogramm kann verlorene Partitionen wiederherstellen und die Tabelle reparieren GPT-Partitionen und MBR, Backup-Festplatten, Wiederherstellung Boot-Records, und am wichtigsten, stellen Sie gelöschte Dateien von NTFS-, FAT-, exFAT-Dateisystemen und Dateisystemen der Ext-Familie wieder her. Sie können auch Dateien sogar von entfernten Partitionen für dieselben Dateisysteme kopieren.

Die Art und Weise, wie das Dienstprogramm funktioniert, ist je nach dem sehr unterschiedlich Gewünschte Aktion. Hier finden Sie einen pseudografischen Assistenten, der Sie durch alle Schritte führt. Sie können Testdisk auch aus den offiziellen Repositories installieren. Verwenden Sie unter Ubuntu den Befehl dafür:

sudo apt install testdisk

Da das Thema unseres Artikels die Wiederherstellung von Linux-Dateien ist, schauen wir uns an, wie dies mit diesem Dienstprogramm durchgeführt wird. Führen Sie das Programm aus:

Wählen Sie im ersten Schritt des Assistenten aus Neues Protokoll erstellen:

Wählen Sie die Partitionstabelle auf der Festplatte aus:

Um mit dem Dateisystem zu arbeiten, wählen Sie das Element aus Fortschrittlich:

Wählen Sie als Nächstes eine Partition und dann den Listenbefehl aus:

Hier sehen Sie alle Dateien, die sich in diesem Abschnitt befinden. Gelöschte, aber wiederherstellbare Dateien werden rot markiert.

Die Arbeit mit diesem Dienstprogramm ist bequemer als mit Photorec, da Sie hier nur eine gewünschte Datei auswählen können, anstatt einen Haufen Müll auf einmal wiederherzustellen. Um eine Datei zu kopieren, wählen Sie sie einfach aus, drücken Sie c und wählen Sie einen Ordner zum Speichern aus. Richtig, Sie verstehen, dass es für die Wiederherstellung notwendig ist, dass die Dateien nicht überschrieben werden, irgendwo ein wenig überschrieben und das war's.

Unsere neustes Programm konzentriert sich hauptsächlich auf das Auffinden und Wiederherstellen gelöschter Videos, Fotos, Dokumente und Archive. Wir können sagen, dass dies ein Linux-Dateiwiederherstellungsprogramm ist. Der Vorteil von PhotoRec besteht darin, dass es das Dateisystem vollständig ignoriert und die Rohdaten betrachtet, was bedeutet, dass es auch dann noch funktioniert, wenn das Dateisystem beschädigt oder neu formatiert ist, aber nur im schnellen Modus, bei dem nur Header gelöscht werden.

Um Probleme zu vermeiden, wird hier nur Lesezugriff verwendet, dies reicht für die Datenwiederherstellung völlig aus. Aber wie ich bereits sagte, müssen Sie alle Schreibvorgänge stoppen, sobald Sie verstehen, dass Sie die Datei wiederherstellen müssen. Andernfalls werden die erforderlichen Daten möglicherweise mit etwas Neuem überschrieben und Sie können sie nicht mehr wiederherstellen.

Das Dienstprogramm verfügt über mehrere Einstellungen. Sie können die zu findenden Dateierweiterungen, Größe, Änderungsdatum usw. angeben. Sie können das Programm auf die gleiche Weise wie TestDisk installieren - aus den offiziellen Repositories.

Führen Sie beispielsweise in Ubuntu Folgendes aus:

sudo apt install photorec

Für die Verwendung gibt es eine interaktive Schnittstelle ähnlich wie bei testdisk. Führen Sie das Dienstprogramm mit dem folgenden Befehl aus:

Wählen Sie das Laufwerk aus, mit dem Sie arbeiten möchten:

Wählen Sie einen Abschnitt:

Wählen Sie ein Dateisystem aus: Das Programm wird viele Dateien wiederherstellen, und höchstwahrscheinlich mehr, als Sie benötigen. Außerdem besteht das Hauptproblem darin, dass die Dateinamen nicht gespeichert werden und Sie immer noch suchen müssen, um zu finden, ob es das gibt, was Sie brauchen.

Ergebnisse

Diese drei Tools decken eine breite Palette von Aufgaben zur Wiederherstellung von Linux-Dateien ab. Hier können Sie gelöschte Linux ext4-Dateien nicht nur wiederherstellen, sondern auch reparieren Festplatte oder kopieren Sie Dateien von beschädigten Medien.

Was sind Ihre bevorzugten Datenwiederherstellungsprogramme? Welche verwendest du? Schreib in die Kommentare!

Zum Nachtisch ein Video von Discovery zur Funktionsweise einer Festplatte: