Главная » Linux

Kali linux восстановление удаленных файлов

На чтение 9 мин Опубликовано
Содержание
  1. Инструменты Kali Linux
  2. Список инструментов для тестирования на проникновение и их описание
  3. extundelete
  4. Описание extundelete
  5. Справка по extundelete
  6. Руководство по extundelete
  7. Примеры запуска extundelete
  8. Установка extundelete
  9. Скриншоты extundelete
  10. Инструкции по extundelete
  11. Восстановление удаленных файлов Linux
  12. Немного теории
  13. 1. Safecopy
  14. 2. TestDisk
  15. 3. PhotoRec
  16. Выводы

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

extundelete

Описание extundelete

extundelete – это утилита, которая может восстановить удалённые файлы из разделов ext3 или ext4. Файловые системы ext3 и ext4 являются самыми распространёнными файловыми системами по умолчанию в дистрибутивах Linux, таких как Mint, Mageia или Ubuntu. extundelete использует сохранённую в журналах раздела информацию для попытки восстановить файл, который был удалён с раздела. Нет гарантий, что можно восстановить конкретный файл, поэтому всегда имейте резервную копию системы, или сделайте её после восстановления ваших файлов.

extundelete не восстанавливает жёсткие ссылки или символические ссылки, но восстанавливает файл, на который ссылки указывают. Расширенные атрибуты не восстанавливаются.

Справка по extundelete 

extundelete [опции] [--] файл-устройства
Опции: --version, -[vV] Напечатать версию и выйти. --help, Напечатать справку и выйти. --superblock Печать содержимого суперблока в дополнение к остальным. Если никакие действия не определены, то эта опция подразумевается. --journal Показать содержимое журнала. --after dtime Обрабатывать только записи, удалённые во время или после 'dtime'. --before dtime Обрабатывать только записи, удалённые перед 'dtime'. Actions: --inode ino Показать информацию и индексному дескриптору 'ino'. --block blk Показать информацию по блоку 'blk'. --restore-inode ino[,ino. ] Восстановить файл(ы) с изуветным номером иноды 'ino'. Восстанавливаемые файлы создаются в ./RECOVERED_FILES где номер иноды является расширением (например, file.12345). --restore-file 'path' Восстановит файл 'path'. 'path' относителен корневого раздела и не начинается с '/' Восстановленный файл создаётся в текущей директории как 'RECOVERED_FILES/path'. --restore-files 'path' Восстановит файлы, перечисленные в 'path'. Каждое имя файла должно быть того же формата, как и для опции --restore-file, один файл на одну строку. --restore-directory 'path' Восстановит директорию 'path'. 'path' относителен корневой директории файловой системы. восстановленная директория создаётся в директории вывода как 'path'. --restore-all Пытается восстановить всё. -j journal Считывает внешний журнал из названного файла. -b blocknumber Использует резервный суперблок по номеру блока при открытии файловой системы. -B blocksize Использует размер блока при открытии файловой системы. Номер должен быть номером в байтах. --log 0 Делает программу тихой. --log filename Записывает все сообщения в файл. --log D1=0,D2=filename Пользовательский контроль сообщений журнала, разделены запятой Примеры ниже: список опций. Dn должен быть info, warn или --log info,error error. Пропуск '=name' приводит к тому, что --log warn=0 сообщения с заданным уровнем будут выведены в консоль. --log error=filename Если параметр '=0', журналирование указанного уровня будет отключено. Если параметр '=filename', сообщения с этим уровнем будут записаны в указанный файл. -o directory Сохранить восстановленные файлы в указанную директорию. Восстановленные файлы по умолчанию создаются в директории 'RECOVERED_FILES/'.

Руководство по extundelete

Примеры запуска extundelete

Прочитать раздел (/dev/sda1) и восстановить (–restore-file) данный файл (root/importantfile):

extundelete /dev/sda1 --restore-file root/importantfile

Установка extundelete

Программа предустановлена в Kali Linux.

Читайте также:  Mounting hdd in linux

Установка в BlackArch

Программа предустановлена в BlackArch.

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты extundelete

Это утилита командной строки.

Инструкции по extundelete

Источник

Восстановление удаленных файлов Linux

Иногда случается, что мы случайно удаляем еще нужные нам файлы. Особенно это опасно в терминале Linux, поскольку здесь файлы удаляются не в корзину, а стираются с диска сразу и навсегда.

Понятно, что нужно аккуратно обращаться с командами удаления файлов, но что делать если уже все удалено, а файлы были важные и их нужно срочно восстановить? В некоторых случаях это возможно. В нашей сегодняшней статье мы рассмотрим восстановление удаленных файлов linux.

Немного теории

Каждый файл занимает определенное пространство на жестком диске, но файловая система для предоставления доступа к файлу дает нам ссылки на его начало, по которым любая программа может получить уже содержимое всего файла. Было бы неэффективно, если бы удаление файла приводило к полному перезаписыванию его области на диске.

Вместо этого, файловая система просто удаляет ссылку на эту область со своей базы, а затем помечает пространство, где находился файл, неразменным. Но на самом деле там еще остались все ваши файлы. Из этого делаем вывод, что если после удаления файловую систему очень быстро переключить в режим только для чтения, то все удаленные файлы могут быть восстановлены.

Если же вы работали с этой файловой системой и данные на диске были перезаписаны другими, то вы уже ничего сами не спасете. Возможно, вы слышали, что спецслужбы могут восстанавливать несколько раз перезаписанные данные по остаточному магнитному следу на диске. Это действительно так. Но для решения такой задачи нужно специальное оборудование, здесь недостаточно нескольких программ, нужен специальный лазер, который может считать магнитный след по краям дорожки и другая аппаратура. Так что про этот метод для себя можете забыть.

Читайте также:  Error codes linux kernel

Ну а мы остановимся на программном восстановлении, когда данные были формально удалены, но физически еще находятся на диске в целостности и сохранности. Дальше рассмотрим несколько утилит, которые помогут восстановить удаленные файлы Linux.

1. Safecopy

Safecopy — это довольно простой инструмент для восстановления данных, который просто копирует данные из одного места в другое. Утилита, как таковая, не восстанавливает отдельные файлы. Она просто позволяет скопировать данные из поврежденного устройства на нормальное.

Разница между этой утилитой и другими программами копирования в том, что Safecopy не завершается при обнаружении каких-либо ошибок, будь то плохая операция чтения или поврежденный сектор. У нее есть множество дополнительных опций для настройки, а также возможность создания образа файловой системы из поврежденного носителя. Данные восстанавливаются тщательно и быстро, насколько это возможно.

Утилиту можно установить из официальных репозиториев вашего дистрибутива. Пользователи Ubuntu могут воспользоваться такой командой:

sudo apt install safecopy

Здесь вы не восстановите удаленные файлы, но вы можете скопировать поврежденные данные. Например, для видео несколько повреждений не играют большой роли. Для запуска восстановления файлов в linux с раздела /dev/sda1 выполните:

sudo safecopy /dev/sda1 /home/files/

Все файлы, которые удастся скопировать будут в /home/files/.

2. TestDisk

TestDisk — это очень мощный инструмент для восстановления данных. Он не пытается скопировать данные из поврежденного устройства, а позволяет исправить ошибки и проблемы на уровне разделов, которые могут мешать работе с вашими данными.

Утилита может восстанавливать потерянные разделы, исправлять таблицу разделов GPT и MBR, делать резервные копии дисков, восстанавливать загрузочные записи, а главное восстанавливать удаленные файлы с файловых систем NTFS, FAT, exFAT и файловых систем семейства Ext. Также вы можете копировать файлы даже с удаленных разделов для тех же файловых систем.

Способ работы утилиты очень сильно отличается в зависимости от нужного действия. Здесь вас ждет псевдографический мастер, который проведет вас через все шаги. Установить testdisk можно ещё и из официальных репозиториев. В Ubuntu используйте для этого команду:

sudo apt install testdisk

Поскольку тема нашей статьи — восстановление файлов linux, рассмотрим как это делается с помощью этой утилиты. Запустите программу:

На первом шаге мастера выберите Create New Log:

testdisk4

Дальше выберите диск, с которым будем работать:

testdisk3

Выберите таблицу разделов на диске:

testdisk5

Для работы с файловой системой выберите пункт Advanced:

testdisk1

Далее выберите раздел, затем команду list:

testdisk

Тут вы увидите все файлы, которые есть на этом разделе. Удаленные, но подлежащие восстановлению файлы будут помечены красным.

Читайте также:  Iso usb linux flash загрузочный диск

testdisk2

Работать с этой утилитой удобнее, чем с Photorec, потому что здесь вы можете выбрать только один нужный файл, а не восстанавливать сразу кучу мусора. Чтобы скопировать файл просто выберите его, нажмите c и выберите папку для сохранения. Правда, вы же понимаете, что для восстановления нужно, чтобы файлы были не перезаписаны, где-то чуть перезапишется и все.

3. PhotoRec

Наша последняя программа ориентирована в первую очередь на поиск и восстановление удаленных видео, фото, документов и архивов. Можно сказать, что это программа восстановления удаленных файлов linux. Преимущество PhotoRec заключается в том, что она полностью игнорирует файловую систему и смотрит на сырые данные, а это значит, что она все равно будет работать, даже если файловая система повреждена или переформатирована, но только в быстром режиме, там где стираются лишь заголовки.

Во избежание каких-либо проблем, здесь используется доступ только для чтения, этого вполне достаточно для восстановления данных. Но как я говорил раньше, вам нужно остановить все операции записи, как только вы поняли, что нужно восстановить файл. В противном случае нужные данные могут быть перезаписаны чем-то новым и вы уже не сможете их восстановить.

В утилиты есть несколько настроек. Вы можете указать расширения файлов, которые нужно найти, размер, дату изменения и так далее. Установить программу можно так же как и TestDisk — из официальных репозиториев.

Например, в Ubuntu выполните:

sudo apt install photorec

Что касается использования, то тут похожий на testdisk интерактивный интерфейс. Запустите утилиту командой:

Выберите диск, с которым нужно работать:

photorec

photorec1

Выберите файловую систему:

photorec2

Выберите способ сканирования (неразмеченное пространство/весь раздел) Затем выберите папку для сохранения результата:

photorec3

Дождитесь завершения процесса:

photorec4

Программа восстановит много файлов, и скорее всего больше чем вам нужно. Причем главная ее проблема в том, что имена файлов не сохраняются и вам придется еще поискать, чтобы найти есть ли там то что нужно.

Выводы

Эти три инструмента охватывают широкий спектр задач по восстановлению файлов Linux. Здесь вы сможете выполнить не только восстановление удаленных файлов Linux из ext4, но и исправить жесткий диск или скопировать файлы с поврежденных носителей.

А какие ваши любимые утилиты для восстановления данных? Какими вы пользуетесь? Напишите в комментариях!

На десерт видео от Discovery о том, как работает жесткий диск:

Обнаружили ошибку в тексте? Сообщите мне об этом. Выделите текст с ошибкой и нажмите Ctrl+Enter.

Источник

Оцените статью
© 2023 Posetke
Adblock
detector