sonyps4.ru

Восстановление файлов линукс. Как восстановить удаленные файлы на Linux

Поделюсь небольшой находкой, маленькой программой для восстанавления удаленные файлы. Какое-то время назад было очень нужно, но программы Scalpel , тогда не нашел, к сожалению. На мой взгляд, из всех известных мне способов - это один из наиболее простых. Scalpel появился из проекта .

И так любителям rm -rf посвящается:

Во первых, самое главное, никто не гарантирует, что Scalpel сможет восстановить ваши файлы, но шансы на это есть.

Установка (так как на испытуемой машине стоит Ubuntu, то рассказывать буду про нее):

sudo apt-get install scalpel

Перед использованием Scalpel, отредактируем файл настроек:
sudo nano /etc/scalpel/scalpel.conf

В нем нужно указать файлы, какого типа мы будем восстанавливать (по умолчанию не один тип не выбран). Я выбрал для восстановления файлы типа doc и pdf:

doc y 10000000 \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00 \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00 NEXT
doc y 10000000 \xd0\xcf\x11\xe0\xa1\xb1

pdf y 5000000%PDF %EOF\x0d REVERSE
pdf y 5000000%PDF %EOF\x0a REVERSE

Теперь можно запускать восстановление:

scalpel /dev/sda1 -o output

-o показывает директорию куда будут складывать восстановленные файлы, если директория с таким имене уже есть (и не пуста) Scalpel не запустится.
/dev/sda1 - собственно том, который будем шерстить на предмет утерянных файлов.
Список можно посмотреть с помощью команды mount:
username@host:~$ mount
/dev/sda1 on / type ext3 (rw, relatime, errors=remount-ro)
proc on /proc type proc (rw, noexec, nosuid, nodev)
/sys on /sys type sysfs (rw, noexec, nosuid, nodev)
varrun on /var/run type tmpfs (rw, noexec, nosuid, nodev, mode=0755)
udev on /dev type tmpfs (rw, mode=0755)
devshm on /dev/shm type tmpfs (rw)
devpts on /dev/pts type devpts (rw, gid=5, mode=620)
lrm on /lib/modules/2.6.24–21-generic/volatile type tmpfs (rw)
/dev/sda2 on /home type ext3 (rw, relatime)

После отработки переходим в директорию output и смотрим что там есть:

username@host:~/output$ ls -l
-rw-r--r-- 1 root root 28189 2009–03–24 14:42 audit.txt
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-3–0
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-3–1
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-3–2
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-4–0

drwxr-xr-x 2 root root 4096 2009–03–24 14:42 pdf-5–0
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 pdf-6–0

В файле audit.txt хранится инофмация о проведеном восстановлении:

username@host:~/output$ cat audit.txt

Scalpel version 1.60 audit file
Started at Tue Mar 24 14:16:04 2009
Command line:
scalpel /dev/sda1 -o output

Output directory: /home/username/output
Configuration file: /etc/scalpel/scalpel.conf

Opening target "/dev/sda1»

The following files were carved:
File Start Chop Length Extracted From
00053045.doc 183664640 YES 10000000 sda1
00053046.doc 183971840 YES 10000000 sda1

00050372.doc 203272192 NO 208896 sda1
00050373.doc 203481088 NO 229376 sda1

Completed at Tue Mar 24 14:42:41 2009

Смотрим во вложенные каталоги и видим (если повезет) наши файлы:

username@host:~/output/doc-3–0$ ls -l
total 25564
-rw-r--r-- 1 root root 307200 2009–03–24 14:42 00050348.doc
-rw-r--r-- 1 root root 40960 2009–03–24 14:42 00050349.doc
-rw-r--r-- 1 root root 4354 2009–03–24 14:42 00050350.doc
-rw-r--r-- 1 root root 466686 2009–03–24 14:42 00050351.doc
-rw-r--r-- 1 root root 176128 2009–03–24 14:42 00050352.doc

Источник - HowtoForge (вольный перевод).

Добавлю от себя Scalpel восстановил далеко не все, конечно. Но очень много, про некоторые файлы я даже забыл уже. Работает он весьма не спешно, кушает почти весь процессор во время работы.

Scalpel умеет работать с фаловыми системами FAT, NTFS, ext 2/3, то есть восстанавливать данные можно и с win-разделов.

И напоследок, лучших способ восстановить очень важные файлы это:
1. Делать бекапы.
2. Очень хорошо думать перед удалением.

Удачного восстановления данных!

Ext2/3/4FS (созданные в Linux или другой ОС), FAT12, FAT16, FAT32, NTFS, NTFS5 (созданные или измененные в Windows 2000/XP/2003/Vista/7/8), exFAT, ReFS, APFS, HFS+, HFSX, HFS и UFS1, UFS2, UFS BigEndian (использующиеся в ОС FreeBSD, OpenBSD и NetBSD).

Поддержка стандартных уровней RAID: набор томов, 0, 1, 4, 5, 6. Поддержка вложенных и нестандартных уровней RAID: 10(1+0), 1E, 5E, 5EE, 6E. Поддержка задержки контроля четности для всех соответствующих уровней RAID. Поддержка пользовательских схем RAID.

Автоматическое распознавание параметров RAID. R-Studio способна распознавать все параметры для RAID 5 и 6. Это позволяет пользователю решить одну из наиболее трудных задач при восстановлении RAID - определение его параметров.

Новый улучшеный алгоритм для восстановления файлов по их сигнатурам: данная функция позволяет распознать типовые характеристики структур распространенных типов файлов и восстановить данные с устройств, на которых файловая система повреждена или неизвестна (HDD, CD, DVD, дискет, USB дисков, ZIP дисков, устройств флеш-памяти (Compact Flash Card, memory sticks) и других съемных носителей).

Пользовательские известные типы файлов. Пользователь может создавать и добавлять в состав R-Studio новые типы файлов любой степени сложности для их точной идентификации.

Поддерживаемые Операционные Системы: файлы могут быть восстановлены , на которых установлены ОС Win2000, XP, Vista, Win7, Win8, Mac OS X или Linux и определенные ОС платформы UNIX.

Почти все файлы R-Studio (образы, информация о сканировании, журналы и т.д.) могут быть сохранены и загружены по сети.

Оптимизация процесса восстановления данных: для повышения скорости восстановления и уменьшения количества данных передаваемых по сети процесс анализа и восстановления файлов выполняется на обслуживаемом компьютере с поврежденными/удаленными дисками. Также восстановленные файлы можно сохранить на диске того же самого компьютера.

Создание файла-образа: при помощи R-Studio можно создать файл-образ целого физического диска, логического диска или раздела. Такие образы являются точными копиями объектов и совместимы со всеми предыдущими версиями R-Studio.

Дополнительные возможности при создании файла-образа (другой формат файла-образа): образы могут быть разделены на неколько частей, сжаты и защищены паролем. Они совместимы только с текущими версиями R-Studio и с программой R-Drive Image.

Создавать образ и сканировать копируемые данные можно одновременно.

Модуль копирования диска: возможно побайтное копирование любого объекта панели Диски (Drives), а также копирование разделов и жестких дисков с изменением их параметров.

Шестнадцатиричный дисковый и файловый редактор: поддерживает хранение нерезидентного атрибута файла NTFS. Позволяет анализировать данные и представлять их в соответствии с различными шаблонами данных (в т.ч. пользовательскими). Также показываются файлы, расположенные в конкретных секторах.

Загрузочное устройство R-Studio Emergency. R-Studio Emergency запускается с внешнего USB диска, CD/DVD или комплекта дискет. Это весьма полезно тогда, когда необходимо восстановить данные с компьютера, который не загружается по причине повреждения файловой системы.

Просмотр содержания файлов: для просмотра содержания восстанавливаемого файла достаточно дважды щелкнуть по нему мышью. Весьма полезно при оценки шансов восстановления. Эффективный встроенный файловый просмоторщик, показывающий картинки как плитки и первый кадры видео файлов как иконки и поддерживающий большое количество . Теперь эти файлы можно воспроизводить без установленных соответствующих программ.

Мониторинг параметров S.M.A.R.T. R-Studio может отображать параметры S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) для жестких дисков которые показывают состояние их аппаратной части и предсказывать их возможные отказы. Нужно избегать любую дополнительную нагрузку на такие диски если появляются предупреждения от системы S.M.A.R.T. Иконки жестких дисков в Drive View (панель Диски) используются для показа общего состояния S.M.A.R.T. для дисков.

Когда файл удаляется или диск форматируется, на самом деле файлы остаются на месте. Удаляется лишь информация о том, где находятся эти файлы на диске. При удалении файла с диска, можно провести аналогию с номерами домов. Если убрать табличку с названием улицы и номером дома, то дом будет намного сложнее найти, и при этом он же не исчезнет с лица земли. Так что восстановить удаленные файлы с диска можно почти всегда на 100%, если те места, где находится информация не перезаписалась.

Программа TestDisk может восстановить некоторые удаленные файлы с диска довольно быстро. Это не такая мощная утилита, как PhotoRec, но она быстрее найдет файлы и сохранит их имена. Эту утилиту TestDisk Вы найдете в репозитории вашего дистрибутива Linuх. Напомню, что её можно выудить из менеджера программ или установить командой с терминала.

В Ubuntu и его производных:

Sudo apt-get install testdisk

Также данная программа существует как для Windows, так и для MacOS. Установочные пакеты можно найти на сайте производителя www.cgsecurity.org/wiki/TestDisk_Download. Существуют готовые загрузочные образы в виде ISO для записи на CD или USB флешки www.cgsecurity.org/wiki/TestDisk_Livecd.

При открытии TestDisk вам будет предложено создать новый файл журнала, просто нажмите ввод, чтобы принять это.

Команда для вызова программы в терминале Linux:

Выберете нужный диск с помощью клавиш со стрелками и нажмите Enter.

В следующем меню выберите и нажмите ввод.

Затем выберите Расширенный

Если у вас имеется более одного раздела, то вы должны будете выбрать его стрелками вверх / вниз. Скорее всего, Вам нужен, тот раздел, который имеет наибольшее количество секторов.

Вы увидите длинный список файлов, которые вы можете попытаться восстановить (обратите внимание, что не все из них могут быть восстановлены). Вы можете пролистать список с помощью клавиш со стрелками вверх / вниз, а также Page Up и Page Down. Если имя файла, не влезает в окно терминала, то вы можете развернуть это окно.

Если вам не удалось найти нужный Вам файл, который был удален, то попробуйте . PhotoRec является более мощной программой для восстановления, она восстановит все удаленные файлы, но не сохранит прежние имена. Восстановленные файлы программа именует сама, цифрами, по мере восстановления.

А если вы нашли потерянный файл в программе TestDisk, тогда нажмите клавишу С на клавиатуре, затем TestDisk спросит вас, куда восстановить данный файл, нажмите Enter и выбранный файл восстановиться. TestDisk вернет вас обратно в список файлов для восстановления.

После того как вы восстановили ваши файлы, можете закрыть окно программы.

TestDisk может попытаться повторить структуру каталогов, так что вы можете найти ваш файл в несколько вложенных папках.

Иногда мы сожалеем о поспешно принятых нами решениях. Касается это и удаления файлов. Тем более что мы можем стереть их и вовсе без принятия решения, случайно. В Windows для такого случая есть корзина . Убунту не обладает этим инструментом, однако пользователь может другими способами восстановить утерянные данные, иногда даже в существенно большем объёме. Главное, в нужный момент знать, как восстановить удалённые файлы в Ubuntu.

Благодаря функционалу программного обеспечения можно восстановить файлы на Ubuntu.

Если случилось так, что вы удалили не тот документ, видео или целую папку, то восстанавливать это необходимо немедленно, сразу как только вы это осознали. Вам непонятно, к чему такая поспешность? Узнаете чуть позже, а пока нам надо очень быстро вернуть обратно потерянные файлы. Помогут в этом различные утилиты.

Не самая эффективная из всех программ по восстановлению данных. Но прибегнуть к ней смогут многие, так как она часто устанавливается на Ubuntu и проста в управлении. Установить её также очень легко:

sudo apt-get install gparted

Запускаем GParted с расширенными правами:

Находим раздел диска, с которого была удалена важная информация, открываем его.

Теперь кликаем по кнопке «Устройство» в верхнем меню и выбираем «Попробовать восстановить данные».

Вероятность успеха операции не так уж велика. Однако если вы сделали это вскоре после очистки нужного файла, есть возможность вернуть всё назад.

TestDisk уже больше подходит для того, чтобы заниматься восстановлением удалённых файлов на Ubuntu. Утилита обладает широким функционалом, и эта процедура - лишь одно из действий. Управляется всё через текстовый интерфейс, что, конечно, не очень удобно для новичков.

Сначала устанавливаем TestDisk:

sudo apt install testdisk

Запускаем программу:

  • Выбираем из трёх возможных вариантов и жмём Ввод.
  • Выбираем диск, с которого и нужно восстановить удалённые файлы.
  • Выбираем таблицу разделов. Как видим, здесь их несколько, последние (Mac, Xbox, Sun) не очень нам подходят. Чаще всего это
  • Выбираем пункт Advanced в следующем окне.
  • Теперь выбираем раздел и кнопку list внизу.
  • Нам выведутся все файлы, которые были удалены за последнее время, причём даже с названием и датой удаления.
  • При помощи кнопки «C» мы можем скопировать файлы, которые хотим восстановить.

Эта утилита позволяет быстро восстановить конкретный файл, причём обладать серьёзными знаниями, даже знанием команд, не требуется. Однако не всегда есть возможность восстановить отображаемые там файлы, если они были перезаписаны.

PhotoRec чуть более, чем полностью специализируется на восстановлении файлов. С этой программой нельзя, как с предыдущей, выборочно восстанавливать нужные документы. Однако при помощи неё можно вернуть назад практически всё что угодно, даже информацию с повреждённых секторов , поскольку PhotoRec смотрит на исходные данные, не обращая внимания на сведения, предоставляемые файловой системой.

Устанавливаем программу:

sudo apt install photorec

Запускаем:

  • Вновь выбираем диск, с которым будем работать.
  • Открываем нужный диск, а затем в следующем окне файловую систему. В случае с Убунту это будет первый вариант.
  • Выберите способ сканирования. Всего их два: весь раздел либо только неразмеченное пространство. Нас будет интересовать весь раздел.
  • После в том же окне выбираем папку , куда сохранится весь результат сканирования.
  • Ждём завершения процесса.

PhotoRec обычно восстанавливает сразу кучу различного хлама. Причём хлам этот часто без наименования, поэтому сложно найти именно то, что нужно вам. Однако же, как правило, пользователи получают доступ к важным удалённым файлам при помощи этой утилиты.

Safecopy

Это не такой мощный инструмент, но пользоваться им ещё проще. Программа не восстанавливает данные подобным методом. Она просто копирует файлы с повреждённых носителей на целые. В таком ключе её удобно использовать с нерабочими флешками или съёмными дисками. Вообще, спектр возможностей Safecopy довольно широк, и восстановление файлов явно не самая сильная её сторона.

Загружаем утилиту на компьютер:

sudo apt install safecopy

Переносим данные с повреждённого носителя:

sudo safecopy /dev/sda /home/

При помощи этой команды мы перенесём данные с раздела dev/sda в home. Способ подходит скорее не тем, кто случайно что-то стёр, а тем, чьи файлы повреждены.

А вот эта программа уже навряд ли уступит всем предыдущим. По заверениям некоторых пользователей и разработчиков она, вообще, является одной из самых мощных в своём роде и позволяет вернуть обратно информацию, которая была удалена давно и перезаписана. Для некоторых это будет последняя надежда. Программа есть не только на системах Linux , но и на Виндовс.

Устанавливаем Scalpel:

sudo apt-get install scalpel

Открываем конфигурационный файл утилиты:

sudo gedit /etc/scalpel/scalpel.conf

Вместо gedit можно использовать nano, если этот редактор стоит у вас по умолчанию.

Теперь здесь нужно найти строку, которая содержит формат того файла, который мы ищем. Например, это png. Находим png и удаляем решётку (#) в начале строки. Это действие называется «раскомментировать».

Сохраняем файл и закрываем редактор.

Запускаем команду для поиска утраченных данных:

sudo scalpel /dev/sda1 -o /home/png/

sda1 - раздел, в котором мы ищем, home/png - раздел, куда всё будет скопировано.

Процесс запустился. Занять он может несколько часов. По завершении откройте Nautilus и с помощью него ту папку, в которую сохранялись файлы. Там вы, скорее всего, найдёте ещё больше мусора, чем после PhotoRec, но среди него и нужные вам файлы.

Немного теории

Так почему же делать всё необходимо так быстро? Причина заключается в том, что, когда мы удаляем какой-то файл, в какой бы системе это ни выполнялось, мы удаляем только подобие ссылки на него. При помощи такой ссылки к нему обращаются программы, получая доступ к тому, что находится на жёстком диске. Однако каждый раз удалять файл по просьбе пользователя с HDD будет очень неудобно и затратно в плане времени и энергии. Гораздо проще пометить эту область на диске как ненужную и перезаписать, когда потребуется новое место. Поэтому чем быстрее мы всё делаем, тем меньше шансов, что область эта уже была перезаписана.

Программы, которые были приведены выше, реализуют разные способы извлечения стёртой информации. Последняя, если верить пользователям, используется даже спецслужбами. Им, кстати, вообще не составит труда «вернуть с того света» любые данные при помощи остаточного магнитного следа на диске. Но для этого обычно требуется специальная дорогостоящая аппаратура, а не просто утилита.

Если вы столкнулись с проблемой утери важных файлов, не стоит сразу же отчаиваться. Большое количество различного софта позволяет вернуть назад требуемую информацию после случайного удаления. В любом случае действуйте с важными документами на компьютере аккуратно: делайте копии, думайте, прежде чем удалять. Хотя, конечно, это и так всем известно.

Поделюсь небольшой находкой, маленькой программой для восстанавления удаленные файлы. Какое-то время назад было очень нужно, но программы Scalpel , тогда не нашел, к сожалению. На мой взгляд, из всех известных мне способов - это один из наиболее простых. Scalpel появился из проекта .

И так любителям rm -rf посвящается:

Во первых, самое главное, никто не гарантирует, что Scalpel сможет восстановить ваши файлы, но шансы на это есть.

Установка (так как на испытуемой машине стоит Ubuntu, то рассказывать буду про нее):

sudo apt-get install scalpel

Перед использованием Scalpel, отредактируем файл настроек:
sudo nano /etc/scalpel/scalpel.conf

В нем нужно указать файлы, какого типа мы будем восстанавливать (по умолчанию не один тип не выбран). Я выбрал для восстановления файлы типа doc и pdf:

doc y 10000000 \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00 \xd0\xcf\x11\xe0\xa1\xb1\x1a\xe1\x00\x00 NEXT
doc y 10000000 \xd0\xcf\x11\xe0\xa1\xb1

pdf y 5000000%PDF %EOF\x0d REVERSE
pdf y 5000000%PDF %EOF\x0a REVERSE

Теперь можно запускать восстановление:

scalpel /dev/sda1 -o output

-o показывает директорию куда будут складывать восстановленные файлы, если директория с таким имене уже есть (и не пуста) Scalpel не запустится.
/dev/sda1 - собственно том, который будем шерстить на предмет утерянных файлов.
Список можно посмотреть с помощью команды mount:
username@host:~$ mount
/dev/sda1 on / type ext3 (rw, relatime, errors=remount-ro)
proc on /proc type proc (rw, noexec, nosuid, nodev)
/sys on /sys type sysfs (rw, noexec, nosuid, nodev)
varrun on /var/run type tmpfs (rw, noexec, nosuid, nodev, mode=0755)
udev on /dev type tmpfs (rw, mode=0755)
devshm on /dev/shm type tmpfs (rw)
devpts on /dev/pts type devpts (rw, gid=5, mode=620)
lrm on /lib/modules/2.6.24–21-generic/volatile type tmpfs (rw)
/dev/sda2 on /home type ext3 (rw, relatime)

После отработки переходим в директорию output и смотрим что там есть:

username@host:~/output$ ls -l
-rw-r--r-- 1 root root 28189 2009–03–24 14:42 audit.txt
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-3–0
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-3–1
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-3–2
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 doc-4–0

drwxr-xr-x 2 root root 4096 2009–03–24 14:42 pdf-5–0
drwxr-xr-x 2 root root 4096 2009–03–24 14:42 pdf-6–0

В файле audit.txt хранится инофмация о проведеном восстановлении:

username@host:~/output$ cat audit.txt

Scalpel version 1.60 audit file
Started at Tue Mar 24 14:16:04 2009
Command line:
scalpel /dev/sda1 -o output

Output directory: /home/username/output
Configuration file: /etc/scalpel/scalpel.conf

Opening target "/dev/sda1»

The following files were carved:
File Start Chop Length Extracted From
00053045.doc 183664640 YES 10000000 sda1
00053046.doc 183971840 YES 10000000 sda1

00050372.doc 203272192 NO 208896 sda1
00050373.doc 203481088 NO 229376 sda1

Completed at Tue Mar 24 14:42:41 2009

Смотрим во вложенные каталоги и видим (если повезет) наши файлы:

username@host:~/output/doc-3–0$ ls -l
total 25564
-rw-r--r-- 1 root root 307200 2009–03–24 14:42 00050348.doc
-rw-r--r-- 1 root root 40960 2009–03–24 14:42 00050349.doc
-rw-r--r-- 1 root root 4354 2009–03–24 14:42 00050350.doc
-rw-r--r-- 1 root root 466686 2009–03–24 14:42 00050351.doc
-rw-r--r-- 1 root root 176128 2009–03–24 14:42 00050352.doc

Источник - HowtoForge (вольный перевод).

Добавлю от себя Scalpel восстановил далеко не все, конечно. Но очень много, про некоторые файлы я даже забыл уже. Работает он весьма не спешно, кушает почти весь процессор во время работы.

Scalpel умеет работать с фаловыми системами FAT, NTFS, ext 2/3, то есть восстанавливать данные можно и с win-разделов.

И напоследок, лучших способ восстановить очень важные файлы это:
1. Делать бекапы.
2. Очень хорошо думать перед удалением.

Удачного восстановления данных!



Загрузка...

Возможно вам будет интересно:

Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров
Вопрос

Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров

Всем привет! Сегодня мы перейдем с вами к видеомонтажу. И первым делом мне хотелось бы дать вам подробную инструкцию, как пользоваться сони вегас про 13, даже если вы начинающий пользователь. На сегодняшний день эта программа является одной из лучших. Ко

Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны
Вопрос

Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны

Для организации и взаимодействия с приложениями на Android используются лаунчеры. Которые обычно состоят из серии домашних экранов, где мы можем организовать ярлыки приложений, виджеты и так далее. Каждый телефон поставляется с лаунчером, но не все лаунче

Где и в каком виде хранится информация
Вопрос

Где и в каком виде хранится информация

Откройте окно с задачей "Мой компьютер ". Если значки в окне мелкие, то измените их на крупные. Конечно, с помощью Правила Внешнего вида!Окно задачи будет выглядеть приблизительно так, как на рисунке:В данном примере значки (C:), (D:) и (E:) обозначают ло

Реклама