آیا فایل ها پس از بازیابی اوبونتو حذف می شوند؟ دستورالعمل نحوه بازیابی فایل های پاک شده از دیسک. چند نکته برای بازیابی فایل های پاک شده در لینوکس با TestDisk

گاهی اوقات اتفاق می افتد که همانطور که به نظر می رسد حذف می کنیم فایل های به درد نخور(تصاویر، فیلم ها، اسناد متنی و غیره)، و سپس ناگهان پشیمان شوید، زیرا در میان راه دور، معلوم شد مورد نیاز است. اگر فایل ها را در آن حذف کنیم خوب است سبد خرید، از جایی که با فشار دادن میانبر صفحه کلید بازیابی آن بسیار آسان است ctrl+zو سپس تمام فایل های موجود در سبد خریدبه پوشه های قبلی خود بازگردانده می شود، یا می توانید انتخابی با کلیک راست بر روی آن ها فایل مورد نظرکه در سبد خریدو در منوی زمینه - ایجاد مجدد.

اما وقتی فایل ها را با تابع حذف کردیم چه کنیم - حذف دائمی? بسیاری از مردم فکر می کنند که داده ها برای همیشه از بین می روند. اما اینطور نیست. در این مورد، ابزار کنسول به ما کمک خواهد کرد چاقوی کوچک جراحی.

چاقوی کوچک جراحییک ابزار بازیابی فایل ساده و بسیار کارآمد است.
چاقوی کوچک جراحیوسیله ای است بهبودی سریعفایل هایی که ابتدا و انتهای فایل ها را از پایگاه داده می خواند فرمت های شناخته شده، سعی می کند آنها را روی دیسک پیدا کند. منحصر به فرد بودن این نرم افزار در این است که به سیستم فایل بستگی ندارد. بنابراین، بهبودی با FATx، NTFS، ext2/3، بنابراین با بخش های "برهنه" (خام).. این ابزار می تواند هم برای بازیابی اطلاعات دیجیتال و هم برای بازیابی فایل استفاده شود.

چاقوی کوچک جراحیتقریباً در مخازن همه توزیع ها موجود است لینوکس. AT اوبونتوو مشتقات شما می توانید آن را نصب کنید مرکز برنامهیا دستور را در ترمینال برای نصب اجرا کنید:

sudo apt-get install scalpel

پس از نصب، در منوی سیستم پیدا نخواهید کرد چاقوی کوچک جراحی، زیرا در بالا اشاره کردم، این ابزار از ترمینال با یک دستور خاص راه اندازی می شود. اما قبل از اجرای دستور جستجوی فایل های حذف ناپذیر، باید در فایل پیکربندی scalpel.confخط را از نظر خارج کنید (علامت پوند را بردارید) با پسوند فایل مورد نظر (همه انواع فایل ها به طور پیش فرض "کامنت شده" هستند). دستور را در ترمینال اجرا کنید تا فایل پیکربندی باز شود scalpel.conf:

sudo gedit /etc/scalpel/scalpel.conf

توجه داشته باشید. در یک تیم gedit(اوبونتو؛ لینوکس مینتدارچین) به نام تغییر دهید ویرایشگر متنتوزیع شما به طور پیش فرض نصب شده است.

به عنوان مثال، من انتخاب کردم که فایل های تصویر گم شده را با پسوند جستجو کنم JPGو بدون نظر خط داده شدهدر ویرایشگر باز شده با فایل scalpel.conf:

شما می توانید هر فایل دیگری را انتخاب کنید. فایل اصلاح شده را ذخیره کنید ( ctrl+s) و ویرایشگر را ببندید.

و اکنون باید دستور ترمینال را با ابزار اجرا کنید
چاقوی کوچک جراحیبرای جستجوی فایل های گم شده:

sudo اسکالپل /dev/sda8 -o /home/vladimir /JPG /output/

sda8یک پارتیشن روی هارد دیسک سیستم فعلی من است. برای اینکه بتوانید پارتیشن خود را تعریف کنید و آن را در یک دستور تغییر دهید، دستور زیر را اجرا کنید:

ترمینال باید تمام بخش های w / disk را نمایش دهد. همانطور که در تصویر نشان داده شده است، فلش، اسلش یا اسلش نقطه نصب پارتیشن من را نشان می دهد - sda8، که در دستور وارد کردم. شما باید مال خود را علامت گذاری کنید.

/خانه/ولادیمیرنام من است پوشه خانه. تغییر دادن ولادیمیربه تنهایی

/JPGنام پوشه ای در دستوری است که روی شما ایجاد می شود پوشه خانه، جایی که تمام فایل های بازیابی شده ذخیره می شوند که می توانید آن را نیز به فایل خود تغییر دهید.

بنابراین، دستور را اجرا می کنیم و منتظر پایان بازیابی هستیم:

همانطور که در تصویر مشاهده می کنید، فرآیند یافتن و بازیابی فایل های تصویری با پسوند JPGدر رایانه من بسته به اندازه پارتیشن مشخص شده (GB) و تعداد تصاویر موجود در آن در دو مرحله و همچنین زمان انجام می شود.
می خواهم فوراً بگویم که روند سریع نیست.

وقتی بازیابی کامل شد، باز کنید پوشه خانهبا حقوق مدیر:

سودو ناتیلوس

بجای ناتیلوسنام مدیر فایلتوزیع شما (به عنوان مثال: Linux Mint - نمویا ساجا; و غیره.).

پوشه را با فایل های بازیابی شده باز کنید، فایل های مورد نیاز خود را انتخاب و ذخیره کنید و سپس می توانید پوشه را برای همیشه حذف کنید، زیرا. فقط فضای با ارزشی را در پارتیشن روی هارد دیسک اشغال می کند.

نتیجه.من می خواهم توجه داشته باشم که ساز چاقوی کوچک جراحیهمه فایل‌های با پسوند مشخص‌شده را پیدا می‌کند، حتی آن‌هایی که قبلاً در این پارتیشن بودند، زمانی که دیگران روی آن نصب شده بودند. سیستم های عامل. این ابزار توسط سرویس های ویژه نیز استفاده می شود کشورهای مختلفبرای جستجوی شواهد مخرب کاربر توسط رایانه، در صورت لزوم. بنابراین مهم نیست که چگونه فایل ها را به طور غیرقابل برگشت حذف می کنیم، آنها همچنان اثر خود را بر روی دیسک w / باقی می گذارند.

فقط تخریب فیزیکی هارد دیسک کاربر کامپیوتر را از به خطر انداختن فایل ها نجات می دهد .

منبع: 10 روش برای بازیابی فایل های حذف شده در لینوکس (وبلاگ http://www.goitexpert.com)، 21 ژوئن 2007
ترجمه: الکساندر ساووین ( [ایمیل محافظت شده])

من کسی را نمی شناسم که حداقل یک بار به طور تصادفی فایلی را حذف نکرده باشد و سعی در بازیابی آن نداشته باشد. AT بازیابی ویندوزفایل ها یک عملیات نسبتا آسان است. اما چگونه می توان آن را در لینوکس انجام داد؟ به طور دقیق تر، اگر چیزی از خط فرمان در صفحه ترمینال حذف شده است، چگونه این فایل را بازیابی کنیم؟ در برخی توزیع های لینوکسمانند اوبونتو، یک سطل بازیافت وجود دارد، اما بسیاری از دیگران اینطور نیستند. فایل های حذف شده به سادگی به فراموشی فرستاده می شوند.

در اینجا یک نکته خوب برای مبتدیان وجود دارد - دستور rm را تغییر دهید: نام مستعار rm = "rm -i" به این ترتیب سیستم هر بار که یک فایل حذف می شود تأیید می کند.

نکته دوم این است که انجام دهید پشتیبان گیری. می توانید از ابزار rsync برای کپی کردن دایرکتوری ها و فایل های مهم در سیستم یا پارتیشن دیگری استفاده کنید. با کرونتاب، این کار را می توان روزانه یا حتی ساعتی انجام داد.

بنابراین، بیایید به 10 روش برای بازیابی فایل های حذف شده نگاه کنیم:

- برخی از مراحل بازیابی فایل از دست رفته را که در Linux Ext2fs Undeletion Mini-HOWTO (ترجمه شده) شرح داده شده است، خودکار می کند. این ابزار تا حد زیادی بازده بازیابی را افزایش می دهد. برای کسانی که نمی دانند چگونه فایل ها را بازیابی کنند توصیه می شود.
athena-delete به درخواست بسیاری از کاربران جدید یونیکس که به طور تصادفی فایل های مورد نیاز خود را حذف کردند، برای پروژه Athena نوشته شد.
unrm یک ابزار کوچک کنسولی است که تحت شرایط خاص، می‌تواند تقریباً 99 درصد از داده‌های حذف شده را بازیابی کند (مشابه با ابزار Undelete DOS). قبل از استفاده، فایل پرسش و پاسخ را با دقت بخوانید و ترجیحاً Linux Ext2fs Undeletion Mini-HOWTO را بخوانید. استفاده: دستگاه unrm [-b (بدون بالشتک)][-e (هر بلوک)][-f ftype][-vW]
- ابزار بازیابی فایل برای سیستم های فایل Ext2/Ext3. پس از نصب، فایل های فعلی و فایل های تازه ایجاد شده در /root و /home قابل بازیابی هستند. این به کاربران اجازه می دهد تا همه را بازیابی کنند فایل های حذف شده، فایل های متعلق به یک کاربر مشخص را بازیابی کنید، داده ها را از یک مکان فایل تخلیه کنید و فایل هایی از نوع خاصی مانند متن یا MP3 را بازیابی کنید. همچنین یک تحلیلگر برای کمک به کاربران در هنگام بازیابی وجود دارد.
یک ابزار کنسول تعاملی برای بازیابی اطلاعات از فایل های حذف شده در سیستم فایل ext2 در لینوکس است. شامل کتابخانه ای است که به شما امکان می دهد فایل های حذف شده را بر اساس نام بازیابی کنید. e2undel مدیریت نمی کند ساختارهای داخلی ext2 و نیازی ندارد وجوه اضافی. بدون دانستن ساختار داخلی ext2 می تواند مفید باشد. استفاده: e2undel -d device -s مسیر [-a][-t] -d سیستم فایل، کجا به دنبال فایل های حذف شده بگردیم - دایرکتوری جایی که فایل های بازیابی شده را ذخیره کنیم - کار روی همه فایل ها - سعی کنید نوع فایل های حذف شده را بدون نام تعیین کنید - فقط لیستی از فایل های معتبر را در فایل گزارش چاپ کنید undel دستگاه باید unmount شود و مسیر نباید به همراه دستگاه مشخص شود.
- به شما امکان می دهد سیستم های فایل را با حداقل استفاده از فضای دیسک اضافی بازیابی و تبدیل کنید. برخلاف سایر ابزارهای بازیابی، anyfs-tools همه فایل‌های یافت شده را در دیسک‌های دیگر (یا پارتیشن‌ها) کپی نمی‌کند، بلکه اطلاعات تخصیص بلوک فایل را به سادگی در یک جدول inode خارجی ذخیره می‌کند. پس از بازیابی، کاربر می تواند فایل سیستم آسیب دیده را با استفاده از anyfs و یک جدول inode خارجی مونت کند و سپس با تمام فایل های بازیابی شده در هر برنامه ای کار کند.
rfs یک اسکریپت کنسول برای ایجاد و به روز رسانی یک دیسک سیستم یدکی محلی است. هدف اصلی بازیابی سریع یک سیستم کار پس از خرابی است. در این مورد، "سریع" به معنای مدت زمانی است که برای راه اندازی مجدد دستگاه طول می کشد. rfs مخفف "تکثیر سیستم فایل" (کپی سیستم فایل) است. مانند rsyncbackup، rfs بر اساس rsync است.
e2retrieve یک ابزار بازیابی اطلاعات Ext2 است که با فایل سیستم های کوتاه یا جزئی کار می کند. برای بازیابی اطلاعات خرابی دیسک از LVM بسیار مفید است. این سیستم فایل را بازیابی نمی کند، اما بیشتر داده هایی را که می تواند از داده های خام Ext2 دریافت کند استخراج و کپی می کند.
findfile - مجموعه ای از ابزارها برای بازیابی فایل ها در سیستم های فایل با دایرکتوری های خراب، جداول تخصیص و غیره. اگر جدول پارتیشن خراب باشد (یا بیشتر) می تواند مفید باشد. هارد دیسکیا با کارت حافظه آسیب دیده از دوربین دیجیتال.
TestDisk ابزاری برای تست و تعمیر پارتیشن ها است. با پارتیشن‌های زیر کار می‌کند: FAT12، FAT16، FAT32، لینوکس، تعویض لینوکس (نسخه‌های 1 و 2)، NTFS (Windows NT/W2k/2003)، BeFS (BeOS)، UFS (BSD)، JFS، XFS و Netware.

گاهی اوقات پیش می آید که فایل های به ظاهر غیر ضروری (تصاویر، فیلم ها، اسناد متنی و غیره) را حذف می کنیم و سپس ناگهان پشیمان می شویم، زیرا. در میان راه دور، معلوم شد مورد نیاز است. اگر فایل ها را در آن حذف کنیم خوب است سبد خرید، از جایی که با فشار دادن میانبر صفحه کلید بازیابی آن بسیار آسان است ctrl+zو سپس تمام فایل های موجود در سبد خریدبه پوشه های قبلی خود بازگردانده می شود یا می توانید با کلیک راست بر روی فایل مورد نظر در سبد خریدو در منوی زمینه - ایجاد مجدد.

اما وقتی فایل ها را با تابع حذف کردیم چه کنیم - حذف دائمی? بسیاری از مردم فکر می کنند که داده ها برای همیشه از بین می روند. اما اینطور نیست. در این مورد، ابزار کنسول به ما کمک خواهد کرد چاقوی کوچک جراحی.

چاقوی کوچک جراحییک ابزار بازیابی فایل ساده و بسیار کارآمد است.
چاقوی کوچک جراحییک ابزار بازیابی سریع فایل است که ابتدا و انتهای فایل های با فرمت های شناخته شده را از پایگاه داده می خواند و سعی می کند آنها را روی دیسک پیدا کند. منحصر به فرد بودن این نرم افزار در این است که به سیستم فایل بستگی ندارد. بنابراین، بهبودی با FATx، NTFS، ext2/3، بنابراین با بخش های "برهنه" (خام).. این ابزار می تواند هم برای بازیابی اطلاعات دیجیتال و هم برای بازیابی فایل استفاده شود.

sudo apt-get install scalpel

sudo gedit /etc/scalpel/scalpel.conf

توجه داشته باشید. در یک تیم gedit(Ubuntu; Linux Mint Cinnamon) به نام ویرایشگر متن پیش‌فرض توزیع خود تغییر دهید.

به عنوان مثال، من انتخاب کردم که فایل های تصویر گم شده را با پسوند جستجو کنم JPGو این خط را در ویرایشگر باز شده با فایل از کامنت بردارید scalpel.conf:

شما می توانید هر فایل دیگری را انتخاب کنید. فایل اصلاح شده را ذخیره کنید ( ctrl+s) و ویرایشگر را ببندید.

و اکنون باید دستور ترمینال را با ابزار اجرا کنید
چاقوی کوچک جراحیبرای جستجوی فایل های گم شده:

sudo اسکالپل /dev/sda8 -o /home/vladimir /JPG /output/

/خانه/ولادیمیرنام من است پوشه خانه. تغییر دادن ولادیمیربه تنهایی

بنابراین، دستور را اجرا می کنیم و منتظر پایان بازیابی هستیم:

وقتی بازیابی کامل شد، باز کنید پوشه خانهبا حقوق مدیر:

سودو ناتیلوس

بجای ناتیلوسنام مدیر فایل توزیع خود را مشخص کنید (به عنوان مثال: Linux Mint - نمویا ساجا; و غیره.).

نتیجه.من می خواهم توجه داشته باشم که ساز چاقوی کوچک جراحیهمه فایل‌های با پسوند مشخص‌شده را پیدا می‌کند، حتی آن‌هایی که قبلاً روی این پارتیشن بودند، زمانی که سیستم‌عامل‌های دیگر روی آن نصب شده بودند. این ابزار همچنین توسط سازمان های اطلاعاتی کشورهای مختلف برای جستجوی شواهد مخرب بر روی یک کاربر رایانه در صورت لزوم استفاده می شود. بنابراین مهم نیست که چگونه فایل ها را به طور غیرقابل برگشت حذف می کنیم، آنها همچنان اثر خود را بر روی دیسک w / باقی می گذارند.

فقط تخریب فیزیکی هارد دیسک کاربر کامپیوتر را از به خطر انداختن فایل ها نجات می دهد .

اتفاقات بد بیشتر از چیزی که شما دوست دارید اتفاق می افتد. یکی از آنها حذف یک فایل با داده های مهم است. علاوه بر این، در یونیکس به نظر می رسد که به فراموشی سپرده می شود. متاسفانه، در واقع، بازیابی فایل های حذف شده در یونیکس اینطور نیست کار سادهدرست مانند ویندوز با سطل بازیافت آشنا برای فایل های حذف شده و ابزارهای متعدد از فروشندگان شخص ثالث (مثلاً Norton Utilities). این به دلیل ویژگی های معماری سیستم های فایل است.
یونیکس سیستم عامل لینوکس مفهوم یک فایل را به طور گسترده تری در نظر می گیرد. فایل هر شیئی است که نامی در سیستم فایل داشته باشد. یکی از این شیء ها یک دایرکتوری است. فهرست شامل نام فایل و اطلاعات تکمیلیدر مورد فایل - اندازه آن، اطلاعات مربوط به صاحب فایل، مکان روی دیسک، تاریخ ایجاد، آخرین تاریخ اصلاح، حقوق دسترسی و موارد دیگر. علاوه بر این، برای بهره وری، اطلاعات اضافی در یک ساختار خاص قرار می گیرد و تنها پیوندی به این ساختار در کاتالوگ باقی می ماند. هنگامی که یک فایل حذف می شود، این اطلاعات اضافی به صورت فیزیکی از دیسک حذف نمی شود، بلکه فقط به عنوان بلوک های متناظر رایگان علامت گذاری می شود. بنابراین، امکان بازیابی یک فایل حذف شده در حالی که چیزی در محل آن نوشته نشده است وجود دارد. من سعی خواهم کرد در صورت بروز چنین مزاحمتی الگوریتمی از اقدامات ارائه دهم.

خاتمه کار بیشتر

بلافاصله پس از اینکه متوجه شدید که اتفاق وحشتناکی رخ داده است، کار بیشتر روی پارتیشن دیسک را با فایل حذف شده متوقف کنید. طبیعتاً نه تنها شما باید کار را متوقف کنید، بلکه سایر کاربرانی که به سیستم وارد شده اند نیز باید متوقف شود. هنگام بازیابی فایل، اقداماتی را برای جلوگیری از ورود دیگران به سیستم انجام دهید (به عنوان مثال، با استفاده از /etc/nologin). نکته اصلی جلوگیری از بازنویسی سایر فرآیندها بر روی بلوک های دیسکی است که قبلاً توسط فایل راه دور استفاده می شد. اگر پارتیشن تقریباً پر باشد، احتمال این اتفاق بیشتر است.

من یک مرده

بیایید دو گزینه بازیابی را در نظر بگیریم. یکی کاملا جهانی است، قابل اجرا است، به احتمال زیاد، در هر سیستم یونیکس. مورد دوم برای کار با فایل سیستم Ext2 طراحی شده است
لینوکس

بازیابی فایل هایی با محتوای شناخته شده

* یک کپی از پارتیشن root ایجاد کنید و آن را در یک فایل از پارتیشن /export قرار دهید. این پارتیشن باید فضای خالی کافی داشته باشد تا با کل پارتیشنی که فایل روی آن حذف شده است قرار گیرد.

# df -k//export
سیستم فایل کیلوبایت استفاده از ظرفیت مفید نصب شده روی
/dev/dsk/c0t3d0s0 122070 19512 102558 16% /
/dev/dsk/c1t0d0s0 17592638 14425963 3166675 82% /صادرات
# dd if=/dev/dsk/c0t3d0s0 of=/export/recover.dsk
263077+0 رکورد در
263077+0 رکورد خارج شد
# ls -l
-rw-r-r-- 1 ریشه دیگر 134701056 ژوئیه 1 16:54 recover.dsk

* دستور cat را با سوئیچ -n (نمایش اعداد خط) اجرا کنید، خروجی آن به ابزار fgrep هدایت می شود، که پس از جستجوی یک الگوی داده شده، تمام موارد غیر ضروری را قطع می کند.

# cat -n recover.dsk | fgrep "root:x:0:1"
200601 root:x:0:1:Super-User:/:/sbin/sh
202108 root:x:0:1:Super-User:/:/sbin/sh

خطوط ممکن است در صورت بروز خطا در هنگام تعیین الگو یا در صورت از بین رفتن محتوای یک فایل راه دور که می تواند رونویسی شود، یافت نشود. در مورد ما، همانطور که می بینیم، دو نسخه از فایل حفظ شده است.

* نمایش تعدادی از خطوط بعد از یک یافت شده
# fgrep -A10 "root:x:0:1" recover.dsk > passwd
# cat passwd
root:x:0:1:Super-User:/:/sbin/sh
دیمون:x:1:1::/:
bin:x:2:2::/usr/bin:
...

کلیدها -A<число строк>و -B<число строк>ابزارهای fgrep به شما این امکان را می‌دهند که چندین خط را بعد از (پس از) و قبل (قبل از) یک رشته منطبق، خروجی بگیرید. اگر بتوانید کل فایل خود را در یک مرحله دریافت کنید، پس خوش شانس هستید. اما متأسفانه فایل‌ها معمولاً تکه تکه می‌شوند و هر چه اندازه فایل بزرگ‌تر باشد، احتمال تکه‌تکه شدن آن‌ها بیشتر می‌شود. بنابراین، به احتمال زیاد، باید روش توصیف شده را با استفاده از الگوهای مختلف و ترکیب قطعات به دست آمده تکرار کنید. دانستن اینکه کدام نسخه از یک فایل ذخیره شده روی دیسک آخرین نسخه است ممکن است دشوار باشد. این فقط با مشاهده محتویات فایل بازیابی شده مشخص می شود. این بدان معنی است که شما باید تمام نسخه های فایل را بازیابی کنید. بسیار خسته کننده اما موثر.

بازیابی فایل در لینوکس Ext2

این روش هنگام حذف با دستور rm یا تابع unlink استفاده می شود و در هنگام بازیابی نیازی به اطلاع از محتوای فایل حذف شده ندارد. برای کار، به دیباگر سیستم فایل debugfs نیاز داریم، یک ابزار نسبتاً قدرتمند که معمولاً برای بررسی و تغییر سیستم فایل استفاده می‌شود و دسترسی مستقیم به سیستم فایل را فراهم می‌کند. ما به سه دستور او نیاز داریم:

lsdel - لیست تمام inode های راه دور در سیستم فایل داده شده
گربه - محتوای مربوط به دسته را مشاهده کنید
dump - بازیابی فایل

اشکال زدایی را در قسمت مورد نیاز اجرا کنید:

در اعلان، دستور lsdel را وارد کنید (یک فنجان قهوه ضرری ندارد، زیرا سیستم برای مشاهده کل پارتیشن زمان می برد):

اشکال زدایی: lsdel
اندازه حالت مالک Inode زمان حذف شد
723300 1000 100664 27018 2/ 7 دوشنبه 20 مه 19:08:17 2002
723301 1000 100444 1671 1/7 سه شنبه 20 مه 19:08:17 2002
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
944887 100600 1037 597 1/ 1 یکشنبه 26 ژانویه 2003 20:05:00
717281 1000 100400 1 1/1 یکشنبه 26 ژانویه 2003 20:05:13
327101 1000 100644 15 1/ 1 یکشنبه 26 ژانویه 2003 20:07:06

بهتر است بلافاصله خروجی را با وارد کردن دستور به یک فایل تغییر مسیر دهید:

#echo lsdel | debugfs /dev/hda6 > /tmp/lsdel-output

اگر از زمان حذف هیچ عملیاتی با پارتیشن انجام نشده باشد، داده های مورد علاقه ما در انتهای لیست قرار خواهند گرفت. بیایید با تایپ دستور، محتوای مربوط به آخرین توصیفگر را ببینیم:

اشکال زدایی: گربه<327101>
داده های_خیلی_مهم_من

فایل حذف شده یافت شد، حاوی یک خط بود. دستور dump یک فایل را با نوشتن آن در دیسک تحت نام بازیابی می کند
my_recovered_file:

اشکال زدایی: dump -p<327101>/tmp/my_recovered_file

سوئیچ -p نشان می دهد که فایل باید مالک، گروه و مجوزهای یکسانی داشته باشد.

بازیابی گروهی از فایل ها در لینوکس Ext2

برای بازیابی گروهی از فایل ها، توصیه می شود از ابزار Tom Pike استفاده کنید
. نصب استاندارد است:

# tar zxf recover-1.3.tar.gz
# سی دی بازیابی-1.3
#ساخت
# را نصب کنید

به طور پیش فرض، ابزار در سیستم دایرکتوری /usr نصب شده است. اگر نیاز به نصب در مکان دیگری دارید - ReadMe را بخوانید. هنگامی که ریکاوری در حال اجرا است، چند سوال ساده بپرسید، مانند: مالک فایل‌ها، چه زمانی این فایل‌ها حذف شده‌اند، اندازه تقریبی این فایل‌ها چقدر است، اشکال‌زدایی‌ها را اجرا می‌کند، و inode‌های مطابق با معیارهای داده شده را بازیابی می‌کند، آنها را در یک فایل قرار می‌دهد. فهرست راهنما، کاربر مشخص شده است. متأسفانه نام فایل ها قابل بازیابی نیستند. فایل های بازیابی شده با استفاده از پیشوند dump و سپس یک شماره inode نامگذاری می شوند.

چه چیزی را بازسازی کرده ایم؟

برای شناسایی فایل‌های بازیابی شده، از دو رشته و فایل استفاده می‌کنیم. اولی دنباله ای از کاراکترهای ASCII را نمایش می دهد و آن را از فایل مشخص شده استخراج می کند، دومی - نوع فایل را می یابد (به عنوان مثال، آیا این یک بایگانی است یا مثلاً یک فایل
پس نوشته).

ابزار فایل را اجرا کنید:

#فایل*
dump39788: دایرکتوری
dump98008: پیام امضا شده متنی زره پوش PGP
dump80154: داده‌های فشرده‌شده gzip، تخلیه‌شده، آخرین تغییر: یکشنبه 28 ژانویه 03:31:21 2001، سیستم عامل: Unix
dump73290: متن ASCII
dump67095: ?تفاوت؟ متن خروجی
dump72945: فایل JPEG
dump9773: داده های جریان صوتی MPEG 1.0 لایه 3، 128 کیلوبیت بر ثانیه
dump8176: متن برنامه ASCII C
dump58764: متن قابل اجرا اسکریپت Bourne shell
dump3223: متن ورودی troff یا پیش پردازنده

می‌توانید با استفاده از اسکریپت‌های ساده مانند زیر، فرآیند را تا حدودی خودکار کنید، که یک پسوند به آن اضافه می‌کند فایل های متنیبرنامه های C:

# برای i در ?file * | grep متن برنامه ASCII C؟ | \awk -F: ?(چاپ $1)??;
mv $i $i.c; انجام شده

پس از تعیین نوع فایل ها، سعی می کنیم هر فایل را شناسایی کنیم. برای برنامه هایی که حاوی متن، کد C، صدا یا تصویر هستند، می توانید برنامه های مناسب را باز کنید و سعی کنید نام اصلی را حدس بزنید. شناسایی فایل‌های باینری، مانند فایل‌های اجرایی، کتابخانه‌ها یا فایل‌های پایگاه داده بسیار دشوارتر است. و اگر شناسایی فایل‌ها یا کتابخانه‌های اجرایی آسان‌تر است، بلکه به سادگی فایل‌های گمشده را دوباره نصب می‌کنید، باید با پایگاه‌های داده سرکوب کنید. در این مورد، باید از ابزار strings استفاده کنید و تمام رشته های متنی ASCII موجود در فایل را نمایش دهید.

#stringsdump44768

از نتیجه گیری می توان این را حدس زد فایل داده شدهیک پایگاه داده است و آن را با یک برنامه مناسب باز کنید.

نتیجه

به یاد داشته باشید، هیچ چیز جایگزین رزروهای معمولی نمی شود. و استفاده از روش های مورد بحث در مقاله باید استثنا باشد تا قاعده. باور کنید نزول در ورطه نیستی کمی لذت است.

گاهی اوقات اتفاق می افتد که ما به طور تصادفی فایل هایی را که هنوز به آن نیاز داریم حذف می کنیم. این به ویژه در ترمینال لینوکس خطرناک است، زیرا در اینجا فایل ها در سطل بازیافت حذف نمی شوند، بلکه بلافاصله و برای همیشه از دیسک پاک می شوند.

واضح است که باید مراقب دستورات حذف فایل باشید، اما اگر همه چیز قبلاً حذف شده باشد و فایل ها مهم بوده و نیاز به بازیابی فوری داشته باشند، چه؟ در برخی موارد این امکان وجود دارد. در مقاله امروز ما به بازیابی حذف شده ها خواهیم پرداخت فایل های لینوکس.

هر فایل فضای مشخصی را در هارد دیسک اشغال می کند، اما سیستم فایل به ما پیوندهایی به ابتدای آن می دهد تا دسترسی به فایل را فراهم کند، که توسط آن هر برنامه ای می تواند محتویات کل فایل را از قبل دریافت کند. اگر حذف یک فایل به طور کامل ناحیه آن را روی دیسک بازنویسی کند، ناکارآمد خواهد بود.

در عوض، سیستم فایل به سادگی ارجاع به آن ناحیه را از پایه خود حذف می کند و سپس فضایی را که فایل در آن قرار دارد را به عنوان غیرقابل تغییر علامت گذاری می کند. اما در واقع، همه فایل های شما هنوز آنجا هستند. از این نتیجه می‌گیریم که اگر پس از حذف، سیستم فایل خیلی سریع به حالت فقط خواندنی تبدیل شود، تمام فایل‌های حذف شده قابل بازیابی هستند.

اگر با این فایل سیستم کار کرده اید و داده های روی دیسک توسط دیگران بازنویسی شده است، خود شما چیزی را ذخیره نمی کنید. ممکن است شنیده باشید که سازمان های اطلاعاتی می توانند داده هایی را که چندین بار توسط رد مغناطیسی باقیمانده روی دیسک بازنویسی شده اند، بازیابی کنند. واقعا هست. اما برای حل چنین مشکلی به تجهیزات خاصی نیاز است، چندین برنامه در اینجا کافی نیست، یک لیزر خاص نیاز است که بتواند رد مغناطیسی را در امتداد لبه های مسیر و سایر تجهیزات بخواند. بنابراین می توانید این روش را برای خودتان فراموش کنید.

خوب، ما متوقف خواهیم شد بازیابی نرم افزارهنگامی که داده ها به طور رسمی حذف شده اند، اما هنوز از نظر فیزیکی دست نخورده و ایمن روی دیسک هستند. در مرحله بعد، چندین ابزار کمکی را در نظر بگیرید که به شما در بازیابی فایل های حذف شده لینوکس کمک می کند.

1. ایمن

Safecopy یک ابزار بازیابی اطلاعات نسبتاً ساده است که به سادگی داده ها را از یک مکان به مکان دیگر کپی می کند. این ابزار، به این ترتیب، فایل های فردی را بازیابی نمی کند. این به سادگی به شما امکان می دهد داده ها را از یک دستگاه آسیب دیده به یک دستگاه معمولی کپی کنید.

تفاوت این ابزار با سایر برنامه‌های کپی در این است که Safecopy وقتی با خطا مواجه می‌شود، اعم از بد خواندن یا بدسکتور، خارج نمی‌شود. دارای بسیاری از گزینه های اضافی برای سفارشی سازی، و همچنین توانایی ایجاد یک تصویر سیستم فایل از رسانه های آسیب دیده است. داده ها با دقت و سریع ترین زمان ممکن بازیابی می شوند.

این ابزار را می توان از مخازن رسمی توزیع شما نصب کرد. کاربران اوبونتو می توانند از این دستور استفاده کنند:

sudo apt install safecopy

در اینجا فایل های حذف شده را بازیابی نمی کنید، اما می توانید داده های خراب را کپی کنید. مثلا برای ویدیو چند آسیب نقش زیادی نداره. برای شروع بازیابی فایل در لینوکس از پارتیشن /dev/sda1، اجرا کنید:

sudo safecopy /dev/sda1 /home/files/

تمام فایل هایی که می توان کپی کرد در /home/files/ قرار خواهند گرفت.

TestDisk بسیار است ابزار قدرتمندبرای بازیابی اطلاعات سعی نمی‌کند داده‌ها را از یک دستگاه خراب کپی کند، بلکه خطاها و مشکلات سطح پارتیشن را که ممکن است با داده‌های شما تداخل داشته باشد، برطرف می‌کند.

این ابزار می تواند پارتیشن های از دست رفته را بازیابی کند، جدول را تعمیر کند پارتیشن های GPTو MBR، دیسک های پشتیبان، بازیابی سوابق بوتو مهمتر از همه، بازیابی فایل های حذف شده از سیستم های فایل NTFS، FAT، exFAT و فایل سیستم های خانواده Ext. شما همچنین می توانید فایل ها را حتی از پارتیشن های راه دور برای سیستم های فایل مشابه کپی کنید.

روش کار ابزار بسیار متفاوت است بسته به نوع اقدام مورد نظر. در اینجا یک جادوگر شبه نگاری پیدا خواهید کرد که شما را در تمام مراحل راهنمایی می کند. همچنین می توانید testdisk را از مخازن رسمی نصب کنید. در اوبونتو، از دستور برای این استفاده کنید:

sudo apt نصب تست دیسک

از آنجایی که موضوع مقاله ما بازیابی فایل های لینوکس است، بیایید ببینیم که چگونه با استفاده از این ابزار این کار انجام می شود. برنامه را اجرا کنید:

در مرحله اول ویزارد، را انتخاب کنید ایجاد گزارش جدید:

جدول پارتیشن روی دیسک را انتخاب کنید:

برای کار با سیستم فایل، مورد را انتخاب کنید پیشرفته:

سپس یک پارتیشن و سپس دستور list را انتخاب کنید:

در اینجا تمامی فایل های موجود در این بخش را مشاهده خواهید کرد. فایل های حذف شده اما قابل بازیابی با رنگ قرمز مشخص می شوند.

کار با این ابزار راحت‌تر از Photorec است، زیرا در اینجا می‌توانید تنها یک فایل دلخواه را انتخاب کنید، نه اینکه یک دسته از ناخواسته‌ها را به طور همزمان بازیابی کنید. برای کپی کردن یک فایل کافی است آن را انتخاب کنید، c را فشار دهید و یک پوشه را برای ذخیره انتخاب کنید. درست است، می دانید که برای بازیابی لازم است که فایل ها رونویسی نشده باشند، جایی کمی رونویسی شده و تمام.

ما آخرین برنامهدر درجه اول بر روی یافتن و بازیابی فیلم ها، عکس ها، اسناد و بایگانی های حذف شده متمرکز شده است. می توان گفت که این یک برنامه بازیابی فایل های لینوکس است. مزیت PhotoRec این است که به طور کامل سیستم فایل را نادیده می گیرد و به داده های خام نگاه می کند، به این معنی که حتی اگر سیستم فایل خراب یا فرمت مجدد شده باشد، باز هم کار می کند، اما فقط در حالت سریع، جایی که فقط هدرها پاک می شوند.

برای جلوگیری از هر گونه مشکلی، در اینجا از دسترسی فقط خواندنی استفاده می شود، این برای بازیابی اطلاعات کاملاً کافی است. اما همانطور که قبلاً گفتم، به محض اینکه فهمیدید باید فایل را بازیابی کنید، باید تمام عملیات نوشتن را متوقف کنید. در غیر این صورت، ممکن است داده های لازم با چیزی جدید رونویسی شوند و دیگر نتوانید آن را بازیابی کنید.

این ابزار دارای تنظیمات مختلفی است. می توانید پسوندهای فایل، اندازه، تاریخ اصلاح و غیره را مشخص کنید. می توانید برنامه را به همان روش TestDisk - از مخازن رسمی نصب کنید.

به عنوان مثال، در اوبونتو، اجرا کنید:

sudo apt نصب photorec

در مورد استفاده، یک رابط تعاملی مشابه تست دیسک وجود دارد. برنامه را با دستور زیر اجرا کنید:

درایوی را که می خواهید با آن کار کنید انتخاب کنید:

یک بخش را انتخاب کنید:

یک سیستم فایل را انتخاب کنید: برنامه تعداد زیادی فایل و به احتمال زیاد بیشتر از آنچه نیاز دارید بازیابی می کند. علاوه بر این، مشکل اصلی آن این است که نام فایل‌ها ذخیره نمی‌شوند و همچنان باید جستجو کنید تا آنچه را که نیاز دارید پیدا کنید.

نتیجه گیری

این سه ابزار طیف گسترده ای از وظایف بازیابی فایل های لینوکس را پوشش می دهند. در اینجا نه تنها می توانید فایل های حذف شده لینوکس ext4 را بازیابی کنید، بلکه می توانید آن ها را نیز تعمیر کنید HDDیا فایل ها را از رسانه های آسیب دیده کپی کنید.

ابزارهای بازیابی اطلاعات مورد علاقه شما چیست؟ شما از کدام ها استفاده می کنید؟ در نظرات بنویسید!

برای دسر، ویدئویی از دیسکاوری در مورد نحوه کار یک هارد دیسک: