Как восстановить удаленные файлы?

TestDisk может иногда восстанавливать недавно удаленные файлы.

Если вы удалили какой-то файл случайно, но все еще знаете некоторые строки, которые были записаны в этот файл, вы можете использовать:

grep -a -B 25 -A 100 'containing string' /dev/sda1 > result.txt

Я использовал прежде всего для восстановления поврежденного жесткого диска как под NTFS (windows), FAT32 (флэш-карта от телефона Nokia) и ext3 с отличными результатами. Только командная строка, но довольно просто, примерно так:

sudo foremost -i /dev/sda -o <dir where recovered files will be stored>

Он упорядочит восстановленные файлы по папкам по типу файла. Документы Openoffice восстанавливаются в виде zip-файлов. Поскольку вам необходимо выполнить его как root (для прямого доступа к оборудованию), выходные файлы также принадлежат root, поэтому вам, вероятно, придется впоследствии поменять их владельца.

extundelete действительно хорош, если у вас файловая система ext3 или ext4.

Примечание: extundelete требует, чтобы вы отмонтировали диск для правильной работы (в любом случае это хорошая идея - как можно скорее сделать это как можно быстрее, чтобы избежать перезаписи потенциально удаляемых байт в удаленных файлах).

Размонтировать диск в работающей системе может быть непросто... device is busy сообщение. Чтобы очистить это "правильно", необходимо закрыть все процессы, обращающиеся к файловой системе. Но... вы, вероятно, работали в своем домашнем каталоге, и в ваш домашний каталог зацепились миллионы процессов, так что удачи в этом.

Хитрость в том, чтобы обойти это, сделать "ленивое" размонтирование:

$ mount
/dev/sda7 on /home type ext4 (rw)
$ sudo umount -l /home

где:

• этот пример для меня готовит мой /home крепление для использования с extundelete. Вам, очевидно, необходимо заменить /home с вашим интересом
• Я сделал mount сначала команда выяснить какое устройство (/dev/sda7) Мне нужно перейти к extundelete (для краткости вывод обрезан)
• это строчная буква L в -l вариант

R-Linux(Recovery studio) - один из лучших. Я использовал этот инструмент много раз раньше. Я работал в компании, где они использовали коммерческую версию, 9/10 раз она восстанавливает все, что вы хотите. Действительно превосходное приложение. Спасли мои и друзей много раз за спиной.

R-Linux - это бесплатная утилита восстановления файлов для файловой системы Ext2/Ext3/Ext4 FS, используемой в ОС Linux и нескольких Unixes. R-Linux использует ту же технологию InteligentScan, что и R-Studio, и гибкие настройки параметров, чтобы обеспечить самое быстрое и надежное восстановление файлов для платформы Linux. Однако, в отличие от R-Studio, R-Linux не может восстанавливать данные по сети, восстанавливать RAID или предоставлять копию объекта.

Особенности (с их сайта):

R-Linux восстанавливает файлы:

• Удален вирусной атакой, отключением электропитания или сбоем системы;
• После того, как раздел с файлами был переформатирован, поврежден или удален;
• Когда структура раздела на диске была изменена или повреждена. В этом случае R-Linux может сканировать диск, пытаясь найти ранее существующие разделы и восстановить файлы из найденных разделов.
• С дисков с плохими секторами. В этом случае R-Linux может сначала скопировать весь диск или его часть в файл образа, а затем обработать файл образа. Это особенно полезно, когда на диске постоянно появляются новые поврежденные сектора, а оставшаяся информация должна быть немедленно сохранена.

Расширенные возможности R-Linux:

• Стандартный "Windows Explorer" - стиль интерфейса.
• ОС хоста:
  • Вариант Linux: Linux, ядро ​​2.6 и выше
  • Вариант Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8
• Поддерживаемые файловые системы: только Ext2/Ext3/Ext4 FS (Linux).

• Распознавание и синтаксический анализ схем размещения разделов Dynamic (Windows 2000/XP/Vista/Win7), Basic, GPT и BSD (UNIX) и карты разделов Apple. Поддерживаются динамические разделы через GPT, а также динамические разделы через MBR.

• Создает файлы изображений для всего жесткого диска, логического диска или его части. Такие файлы изображений могут обрабатываться как обычные диски. Изображения могут быть либо точными точными копиями объектов (Plain images), совместимыми со старыми версиями R-Linux, либо сжатыми изображениями, которые можно сжать, разделить на несколько частей и защитить паролем. Такие образы полностью совместимы с образами, созданными R-Drive Image, но несовместимы со старыми версиями R-Linux.

• Распознает локализованные имена.

• Восстановленные файлы могут быть сохранены на любых (в том числе сетевых) дисках, доступных операционной системе хоста.

Для восстановления каталога вы можете использовать extundelete

1. Установить extundelete

   sudo apt-get install extundelete
   

2. Команда восстановить

   sudo extundelete --restore-directory /home/Documents/ /dev/sda1
   

Примечание: вместо dev/sda1 введите название раздела жесткого диска.

/home/Documents/ ваш путь к удаленной директории.

Попробуй Скальпель

sudo apt-get install scalpel

для получения дополнительной информации

мужской скальпель

Если для импорта восстановленных файлов используется вторичное внутреннее HD (подозреваем, что то же самое для внешнего HD) (с основного HD, на котором изначально находились файлы), необходимо создать каталог, в который файлы будут помещены на вторичное HD. Для этого вам нужно сначала установить BIOS для загрузки с CD! 1. Запустите Live Ubuntu Rescue-Remix CD, дайте команду на загрузку, затем, когда он загрузится в терминал, проверьте ваши HD с помощью команды - Код: sudo fdisk -l

Поймите, какой HD является основным, а какой второстепенным, и какой раздел для проверки файлов и в который их восстанавливать - linux ext3 или Windows NTFS! Мой был Linux. Имейте достаточно места на этом! (Затем вы можете попробовать запустить Photorec ("sudo photorec"), и, надеюсь, вы сможете увидеть все ваши HD. Мне не повезло, поэтому мне пришлось создать каталог и смонтировать сек HD.)

2. Сначала создайте каталог для восстановленных файлов, например - media/disk. Дай команду - Код: sudo mkdir /media/disk

Если все в порядке, подсказка терминала просто возвращается.

3. Необходимо смонтировать вторичный HD, иначе он будет невидимым, даже если "sudo fdisk -l" его показывает. Дайте команду для вашего вторичного HD - Код: sudo mount -t ext3 /dev/sdb2 /media/disk

Если все в порядке, подсказка терминала просто возвращается.

4. Запустите Photorec по команде - Код:

   sudo photorec

Зайдите в настройки и выберите только те типы файлов, которые вам нужны, иначе у вас будет тысячи файлов для просеивания!

Для получения более подробной информации вы можете посетить: http:/www..ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu

Инструменты Autopsy и Sleuthkit отлично подходят для восстановления удаленных файлов, имеют удобный пользовательский интерфейс, а также доступны в репозиториях.

Установить скальпель

sudo apt-get install scalpel

Отредактируйте файл scalpel.conf и раскомментируйте типы файлов, которые вы хотите восстановить. Создайте пустую папку (например, recovered_data). Найдите раздел, в котором находились ваши данные. Вы можете использовать lsblk, чтобы получить карту разделов.

sudo lsblk

Запустите скальпель (предположим, что данные были в sda1)

sudo scalpel -o recovered_data/ /dev/sda1

В статье The Sleuth Kithttps://en.wikipedia.org/wiki/The_Sleuth_Kit в Википедии также упоминаются инструменты с графическим интерфейсом пользователя.

Недавно я использовал ext3grep для восстановления большого файла SQLite 3, который был удален из файловой системы ext3.

Я перепробовал много других инструментов, которые не смогли восстановить файл (из образа диска dd).

Чтобы использовать ext3grep, мне нужно было скачать и скомпилировать исходный код. Внимательно прочитайте http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html сверху вниз, чтобы понять, как работает файловая система ext3 и как использовать журнал, чтобы найти, где находятся удаленные файлы. диск тоже был необходим.

Это не простое решение, но очень, очень мощное. Если вы готовы потратить несколько часов на изучение документа и составление программы, это того стоит.