Восстановление данных с жесткого диска с помощью Foremost:
Для начала давайте посмотрим на подключенные устройства хранения, используя команда lsblk в консоли:
Lsblk покажет все доступные устройства хранения и разделы, включая swap и оптические устройств, в данном случае мне нужно устройство sdb.
Примечание: чтобы узнать больше о команде lsblk, прочтите Как вывести список всех дисков Linux Устройства .
Как видите, USB-накопитель емкостью 32 ГБ назывался sdb , и это устройство, которое я буду работать.
Восстановление данных с USB-накопителя с помощью Foremost:
Чтобы начать восстановление данных с USB-накопителя, начните с установки Foremost с помощью диспетчера пакетов APT в Debian или на основе дистрибутивов Linux, запустив:
После установки вы можете отобразить страницу руководства, чтобы проверить все доступные параметры:
Из справочной страницы мы понимаем, что флаг -i предназначен для определения входного файла, из которого Foremost начнет работать . Обычно он предназначен для работы с изображениями, созданными такими инструментами, как dd или Encase. Чтобы запустить Foremost самым простым способом без дополнительных флагов, выполните следующую команду, заменив/sdb на идентификатор устройства, с которого вы хотите восстановить данные.
Выполнить:
Где sdb помещает правильное устройство.
После выполнения процесс вырезания будет выглядеть так:
Примечание. вы также можете указать разделы, например,/dev/sdb1.
Когда процесс завершится, запустите ls , чтобы подтвердить создание нового каталога с именем output :
Как вы видите, вывод каталога существует, чтобы увидеть восстановленные файлы, введите его с помощью команды cd (Изменить каталог), а затем запустите ls :
# ls
Внутри вы увидите каталоги для всех типов файлов, которые удалось восстановить. Кроме того, вы увидите файл с именем audit.txt с отчетом о вырезанных файлах.
Вы можете проверить, какие файлы были найдены внутри каждого каталога, запустив ls :
Вы также можете просматривать все восстановленные файлы через графический файловый менеджер:
Восстановление данных с жесткого диска с помощью PhotoRec:
PhotoRect вместе с Foremost является самым популярным инструментом для вырезания файлов или восстановления данных как для профессиональной криминалистики, так и для домашнего использования. В то время как Foremost выполняет более интеллектуальное восстановление, демонстрируя более высокую производительность, грубая сила PhotoRec показывает лучшие результаты при вырезании файлов. В этом разделе показано, как выполнить восстановление данных с жесткого диска с помощью PhotoRec.
Для начала на Debian и дистрибутив Linux на основе ns install photorec, запустив:
Справочная страница PhotoRec почти пуста, Photorec довольно прост в использовании, и его нужно только запустить, появится дидактический дружественный интерфейс, похожий на интерфейс CFDISK. чтобы направлять вас в течение всего процесса.
После установки запустите его, вызвав программу:
Не забудьте запустить PhotoRec с достаточными разрешениями для доступа к устройству, которое нужно вырезать.
На первом экране вам нужно выбрать исходный диск или изображение, с которого PhotoRec необходимо восстановить данные. В этом случае я выбираю устройство/dev/sdb, как показано на изображении ниже:
На этом шаге вам нужно выбрать раздел, из которого вы хотите восстановить данные.
Если разделы не найдены и не указаны, прежде чем продолжить поиск с помощью стрелок на клавиатуре, переместите выберите File Opt , чтобы изучить доступные параметры, как показано на изображении ниже:
Как вы можете видеть в File Opt , вы можете повысить точность результата, указав тип файлов, которые вы ищете. Выберите нужный тип файлов и нажмите b , чтобы продолжить, или Quit , чтобы вернуться.
Вернувшись на предыдущий экран, выберите Search и нажмите Enter, чтобы продолжить начать процесс восстановления данных.
На этом этапе Foremost будет спросите, какой тип файловой системы имеет или использовало устройство, в данном случае это была FAT или NTFS, выберите нужную файловую систему, даже если она в настоящее время сломана, и нажмите ENTER.
Наконец, PhotoRec спросит, где вы хотите чтобы сохранить файлы, я просто покинул рабочий стол, но вы можете создать для него отдельную папку, после выбора места назначения нажмите C , чтобы продолжить.
Процесс начнется и может длиться несколько минут или часов в зависимости от размера.
В конце процесса PhotoRect уведомит о создании каталога с восстановленными файлами , в данном случае recup_dir * на рабочем столе, ранее выбранном в качестве места назначения.
Как и в Foremost, вы можете вывести список всех файлов из консоли:
Или вы можете просматривать файлы, используя предпочтительный графический файловый менеджер:
Заключение по восстановлению данных с харда диск с PhotoRec и Foremost:
Оба инструмента лидируют на рынке вырезания файлов, оба инструмента позволяют восстанавливать файлы любого типа, Foremost поддерживает вырезание jpg , gif , png , bmp , avi , exe , mpg , wav , рифф , wmv , mov , pdf , ole , doc , zip , rar , htm и cpp и другие. Оба инструмента совместимы с образами дисков, такими как dd или Encase. В то время как PhotoRec использует грубую силу, обеспечивая более глубокое вырезание, Foremost фокусируется на более быстрой работе верхних и нижних колонтитулов блоков. Оба инструмента включены в самые популярные комплекты криминалистических программ и дистрибутивы ОС, такие как Deft/Deft Zero live или CAINE, которые были описаны по адресу https://linuxhint.com/live_forensics_tools/.
Использование PhotoRec или Foremost дает возможность применять инструменты криминалистики высокого уровня даже для домашнего использования, упомянутые инструменты не имеют сложных флагов и опций для добавления их запуска.
Надеюсь, вы нашел этот учебник по восстановлению данных с жесткого диска полезным. Следите за LinuxHint, чтобы получать больше советов и обновлений по Linux и сети.
