Connect with us

Wie man

Stellen Sie Daten wie ein Forensiker mit einer Ubuntu Live-CD wieder her

Stellen Sie Daten wie ein Forensiker mit einer Ubuntu Live-CD wieder her

Es gibt viele Dienstprogramme zum Wiederherstellen gelöschter Dateien. Was ist jedoch, wenn Sie Ihren Computer nicht starten können oder das gesamte Laufwerk formatiert wurde? Wir zeigen Ihnen einige Tools, mit denen Sie die schwer fassbaren gelöschten Dateien oder sogar ganze Festplattenpartitionen wiederherstellen können.

Wir haben Ihnen einfache Möglichkeiten gezeigt, um versehentlich gelöschte Dateien wiederherzustellen, sogar eine einfache Methode, die von einer Ubuntu Live-CD ausgeführt werden kann. Bei stark beschädigten Festplatten werden diese Methoden diese jedoch nicht ausschneiden. In diesem Artikel werden vier Tools untersucht, mit denen Daten von den am meisten durcheinandergebrachten Festplatten wiederhergestellt werden können, unabhängig davon, ob sie für einen Windows-, Linux- oder Mac-Computer formatiert wurden oder ob die Partitionstabelle vollständig gelöscht wurde.

Unser Setup

Um diese Tools zu zeigen, haben wir eine kleine 1-GB-Festplatte eingerichtet, wobei die Hälfte des Speicherplatzes als ext2, ein unter Linux verwendetes Dateisystem, und die Hälfte als FAT32, ein in älteren Windows-Systemen verwendetes Dateisystem, partitioniert ist. Wir haben zehn zufällige Bilder auf jeder Festplatte gespeichert.

Wir haben dann die Partitionstabelle von der Festplatte gelöscht, indem wir die Partitionen in GParted gelöscht haben.

sshot-2

Sind unsere Daten für immer verloren?

Werkzeuge installieren

Alle Tools, die wir verwenden werden, befinden sich im Ubuntu-Repository.

Um das Repository zu aktivieren, öffnen Sie den Synaptic Package Manager, indem Sie oben links auf System und dann auf Administration> Synaptic Package Manager klicken.

Klicken Sie auf Einstellungen> Repositorys und aktivieren Sie das Kontrollkästchen «Von der Community gepflegte Open Source-Software (Universum)».

sshot-3

Klicken Sie auf Schließen und dann im Hauptfenster von Synaptic Package Manager auf die Schaltfläche Neu laden. Nachdem die Paketliste neu geladen und der Suchindex neu erstellt wurde, suchen Sie nach einem oder allen der folgenden Pakete und markieren Sie sie für die Installation: Testdisk, an erster Stelle, und Skalpell.

Testdisk Dazu gehören TestDisk, mit der verlorene Partitionen wiederhergestellt und Bootsektoren repariert werden können, und PhotoRec, mit dem viele verschiedene Dateitypen aus Tonnen verschiedener Dateisysteme wiederhergestellt werden können.

sshot-4

Vor allem, ursprünglich vom US Air Force Office of Special Investigations entwickelt, stellt Dateien basierend auf ihren Headern und anderen internen Strukturen wieder her. Foremost arbeitet auf Festplatten oder Image-Dateien, die mit verschiedenen Tools erstellt wurden.

sshot-6

Schließlich, Skalpell führt die gleichen Funktionen wie vor allem aus, konzentriert sich jedoch auf eine verbesserte Leistung und eine geringere Speichernutzung. Scalpel läuft möglicherweise besser, wenn Sie einen älteren Computer mit weniger RAM haben.

sshot-5

Stellen Sie Festplattenpartitionen wieder her

Wenn Sie Ihre Festplatte nicht mounten können, ist die Partitionstabelle möglicherweise beschädigt. Bevor Sie versuchen, Ihre wichtigen Dateien wiederherzustellen, können Sie möglicherweise eine oder mehrere Partitionen auf Ihrem Laufwerk wiederherstellen und alle Ihre Dateien in einem Schritt wiederherstellen.

Testdisk ist das Werkzeug für den Job. Starten Sie es, indem Sie ein Terminal öffnen (Anwendungen> Zubehör> Terminal) und Folgendes eingeben:

sudo testdisk

sshot-8

Wenn Sie möchten, können Sie eine Protokolldatei erstellen, die jedoch keinen Einfluss darauf hat, wie viele Daten Sie wiederherstellen. Sobald Sie Ihre Wahl getroffen haben, werden Sie mit einer Liste der Speichermedien auf Ihrem Computer begrüßt. Sie sollten in der Lage sein, die Festplatte, von der Sie Partitionen wiederherstellen möchten, anhand ihrer Größe und Bezeichnung zu identifizieren.

sshot-9

TestDisk fordert Sie auf, den Typ der Partitionstabelle auszuwählen, nach der gesucht werden soll. In den meisten Fällen (ext2 / 3, NTFS, FAT32 usw.) sollten Sie Intel auswählen und die Eingabetaste drücken.

sshot-10

Markieren Sie Analysieren und drücken Sie die Eingabetaste.

sshot-11

In unserem Fall wurde unsere kleine Festplatte zuvor als NTFS formatiert. Erstaunlicherweise findet TestDisk diese Partition, kann sie jedoch nicht wiederherstellen.

sshot-12

Es werden auch die beiden Partitionen gefunden, die wir gerade gelöscht haben. Wir können ihre Attribute ändern oder weitere Partitionen hinzufügen, aber wir können sie nur durch Drücken der Eingabetaste wiederherstellen.

sshot-13

Wenn TestDisk nicht alle Partitionen gefunden hat, können Sie eine tiefere Suche durchführen, indem Sie diese Option mit der linken und rechten Pfeiltaste auswählen. Wir hatten nur diese beiden Partitionen, also werden wir sie wiederherstellen, indem wir Schreiben auswählen und die Eingabetaste drücken.

sshot-14

Testdisk informiert uns, dass wir neu starten müssen.

sshot-15

Nach dem Neustart sind beide Partitionen wieder in ihrem ursprünglichen Zustand, ihren Bildern und allem.

sshot-16

Stellen Sie Dateien bestimmter Typen wieder her

Für die folgenden Beispiele haben wir die 10 Bilder von beiden Partitionen gelöscht und sie dann neu formatiert.

PhotoRec

Von den drei Werkzeugen, die wir zeigen werden, PhotoRec ist am benutzerfreundlichsten, obwohl es sich um ein konsolenbasiertes Dienstprogramm handelt. Öffnen Sie ein Terminal (Anwendungen> Zubehör> Terminal) und geben Sie Folgendes ein, um mit der Wiederherstellung von Dateien zu beginnen:

sudo photorec

Zunächst werden Sie aufgefordert, ein zu durchsuchendes Speichergerät auszuwählen. Sie sollten in der Lage sein, das richtige Gerät anhand seiner Größe und Beschriftung zu identifizieren. Wählen Sie das richtige Gerät aus und drücken Sie die Eingabetaste.

sshot-17

PhotoRec fordert Sie auf, den zu durchsuchenden Partitionstyp auszuwählen. In den meisten Fällen (ext2 / 3, NTFS, FAT usw.) sollten Sie Intel auswählen und die Eingabetaste drücken.

sshot-18

Sie erhalten eine Liste der Partitionen auf Ihrer ausgewählten Festplatte. Wenn Sie alle Dateien auf einer Partition wiederherstellen möchten, wählen Sie Suchen und drücken Sie die Eingabetaste.

Dieser Vorgang kann jedoch sehr langsam sein. In unserem Fall möchten wir nur nach Bilddateien suchen. Verwenden Sie stattdessen die rechte Pfeiltaste, um File Opt auszuwählen, und drücken Sie die Eingabetaste.

sshot-19

PhotoRec kann viele verschiedene Dateitypen wiederherstellen, und die Auswahl der einzelnen Dateien würde lange dauern. Stattdessen drücken wir «s», um alle Auswahlen zu löschen, und suchen dann die entsprechenden Dateitypen – jpg, gif und png – und wählen sie durch Drücken der rechten Pfeiltaste aus.

sshot-20

Sobald wir diese drei ausgewählt haben, drücken wir «b», um diese Auswahl zu speichern.

sshot-21

Drücken Sie die Eingabetaste, um zur Liste der Festplattenpartitionen zurückzukehren. Wir möchten beide Partitionen durchsuchen, markieren also «Keine Partition» und «Suchen» und drücken dann die Eingabetaste.

sshot-22

PhotoRec fordert Sie auf, einen Speicherort für die wiederhergestellten Dateien anzugeben. Wenn Sie eine andere fehlerfreie Festplatte haben, empfehlen wir, die wiederhergestellten Dateien dort zu speichern. Da wir nicht viel wiederherstellen, speichern wir es auf dem Desktop der Ubuntu Live-CD.

PhotoRec kann die 20 Bilder von den Partitionen auf unserer Festplatte wiederherstellen!

sshot-24

Ein kurzer Blick in das von ihm erstellte Verzeichnis recup_dir.1 bestätigt, dass PhotoRec bis auf die Dateinamen alle unsere Bilder wiederhergestellt hat.

sshot-25

Vor allem

Foremost ist ein Befehlszeilenprogramm ohne interaktive Oberfläche wie PhotoRec, bietet jedoch eine Reihe von Befehlszeilenoptionen, um so viele Daten wie möglich aus Ihrem Laufwerk zu holen.

Öffnen Sie ein Terminal (Anwendungen> Zubehör> Terminal) und geben Sie Folgendes ein, um eine vollständige Liste der Optionen anzuzeigen, die über die Befehlszeile angepasst werden können.

zuallererst –h

In unserem Fall sind die Befehlszeilenoptionen, die wir verwenden werden:

  • -t, eine durch Kommas getrennte Liste der zu suchenden Dateitypen. In unserem Fall ist dies «jpeg, png, gif».
  • -v aktiviert den ausführlichen Modus und gibt uns weitere Informationen darüber, was in erster Linie getan wird.
  • -o, der Ausgabeordner, in dem wiederhergestellte Dateien gespeichert werden. In unserem Fall haben wir ein Verzeichnis mit dem Namen «foremost» auf dem Desktop erstellt.
  • -i, die Eingabe, die nach Dateien durchsucht wird. Dies kann ein Disk-Image in verschiedenen Formaten sein. Wir werden jedoch eine Festplatte verwenden, / dev / sda.

Unsere wichtigste Anrufung ist:

sudo foremost –t jpeg, png, gif –o foremost –v –i / dev / sda

Ihr Aufruf hängt davon ab, wonach Sie suchen und wo Sie danach suchen.

sshot-26

Foremost kann 17 der 20 auf der Festplatte gespeicherten Dateien wiederherstellen.

sshot-27

Wenn wir uns die Dateien ansehen, können wir bestätigen, dass diese Dateien relativ gut wiederhergestellt wurden, obwohl wir einige Fehler in der Miniaturansicht für 00622449.jpg sehen können.

sshot-28

Ein Teil davon kann auf das ext2-Dateisystem zurückzuführen sein. Foremost empfiehlt die Verwendung der Befehlszeilenoption –d für Linux-Dateisysteme wie ext2.

Wir werden foremost erneut ausführen und die Befehlszeilenoption –d zu unserem vordersten Aufruf hinzufügen:

sudo foremost –t jpeg, png, gif –d –o foremost –v –i / dev / sda

sshot-29

Dieses Mal kann in erster Linie alle 20 Bilder wiederhergestellt werden!

sshot-30

Ein letzter Blick auf die Bilder zeigt, dass die Bilder ohne Probleme wiederhergestellt wurden.

sshot-31

Skalpell

Scalpel ist ein weiteres leistungsstarkes Programm, das wie Foremost stark konfigurierbar ist. Im Gegensatz zu Foremost müssen Sie bei Scalpel eine Konfigurationsdatei bearbeiten, bevor Sie eine Datenwiederherstellung versuchen.

Jeder Texteditor reicht aus, aber wir verwenden gedit, um die Konfigurationsdatei zu ändern. Geben Sie in einem Terminalfenster (Anwendungen> Zubehör> Terminal) Folgendes ein:

sudo gedit /etc/scalpel/scalpel.conf

sshot-32

scalpel.conf enthält Informationen zu verschiedenen Dateitypen. Scrollen Sie durch diese Datei und kommentieren Sie die Zeilen aus, die mit einem Dateityp beginnen, den Sie wiederherstellen möchten (dh entfernen Sie das Zeichen «#» am Anfang dieser Zeilen).

sshot-33

Speichern Sie die Datei und schließen Sie sie. Kehren Sie zum Terminalfenster zurück.

Scalpel bietet außerdem eine Vielzahl von Befehlszeilenoptionen, mit denen Sie schnell und effektiv suchen können. Wir definieren jedoch nur das Eingabegerät (/ dev / sda) und den Ausgabeordner (einen Ordner namens «Skalpell», den wir auf dem Desktop erstellt haben).

Unsere Anrufung ist:

sudo skalpell / dev / sda –o skalpell

sshot-34

Scalpel kann 18 unserer 20 Dateien wiederherstellen.

sshot-35

Ein kurzer Blick auf das wiederhergestellte Dateiskalpell zeigt, dass die meisten unserer Dateien erfolgreich wiederhergestellt wurden, obwohl es einige Probleme gab (z. B. 00000012.jpg).

sshot-36

Fazit

In unserem schnellen Spielzeugbeispiel konnte TestDisk zwei gelöschte Partitionen wiederherstellen, und PhotoRec und Foremost konnten alle 20 gelöschten Bilder wiederherstellen. Scalpel hat die meisten Dateien wiederhergestellt, aber es ist sehr wahrscheinlich, dass wir durch das Spielen mit den Befehlszeilenoptionen für Scalpel alle 20 Bilder wiederherstellen konnten.

Diese Tools sind Lebensretter, wenn mit Ihrer Festplatte etwas schief geht. Wenn sich Ihre Daten irgendwo auf der Festplatte befinden, wird sie von einem dieser Tools aufgespürt!

Continue Reading
Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tendencia