Hvordan du gjør datainnretting fra harddisken
Datagjenoppretting fra harddisken med fremst:
For å begynne å se tilkoblede lagringsenheter ved å bruke kommandoen LSBLK, På konsollkjøringen:
# LSBLK
LSBLK vil vise alle tilgjengelige lagringsenheter og partisjoner, inkludert bytte og optiske enheter, i dette tilfellet vil jeg ha SDB -enheten.
Merk: For å lære mer om LSBLK -kommandoen, les hvordan du lister opp alle Linux -diskenheter.
Som du kan se ble 32 GB USB Pendrive kalt SDB Og det er enheten jeg skal jobbe med.
Datagjenoppretting fra USB -stasjonen med fremst:
For å starte datarevidverk fra en USB -start start ved å installere fremst ved å bruke APT Package Manager på Debian eller baserte Linux -distribusjoner ved å kjøre:
# Apt installere fremst
Når du er installert, kan du vise Man -siden for å sjekke alle tilgjengelige alternativer:
# Mann fremst
Fra mannsiden forstår vi flagget -Jeg er å bestemme en inndatafil, hvorfra som fremst vil begynne å jobbe. Det er vanligvis rettet mot å jobbe med bilder som disse produsert av verktøy som DD eller Encase. For å lansere fremst på en enkleste måte uten flere flagg, kjører følgende kommando erstatning /SDB for enhets -IDen du vil gjenopprette data fra.
Løpe:
# fremst -i /dev /sdb
Hvor SDB Sett riktig enhet.
Når utført utskjæringsprosessen vil se ut:
Merk: Du kan også spesifisere partisjoner som for eksempel /dev /sdb1.
Når prosessen slutter å kjøre ls for å bekrefte opprettelsen av en ny katalog som heter produksjon:
# ls
Som du kan se katalogutgangen eksisterer, for å se de gjenopprettede filene angi den ved hjelp av kommandoen CD (Endre katalog) og deretter kjøre ls:
# CD -utgang
# ls
Inne i du vil se kataloger for alle filtyper fremst klart å gjenopprette, i tillegg vil du se en fil som heter Audit.txt med en rapport om utskårne filer.
Du kan sjekke hvilke filer som ble funnet i hver katalog ved å kjøre ls :
# LS JPG/
Du kan også bla gjennom alle gjenopprettede filer gjennom en grafisk filbehandling:
Datagjenoppretting fra harddisk med Photorec:
Fotorekt er sammen med det mest populære filutskjærings- eller dataregistreringsverktøyet både for profesjonell rettsmedisin og innenlandsk bruk. Mens fremst gjør en smartere utvinning som viser en raskere ytelse, viser Photorecs brute force bedre resultater når du hugger filer. Denne delen viser hvordan du utfører datagjenoppretting fra harddisken ved hjelp av Photorec.
For å begynne på Debian og baserte Linux -distribusjoner installerer Photorec ved å kjøre:
# Apt Installer testdisk
Photorec Man -siden er nesten tom, Photorec er ganske enkel å bruke og trenger bare å utføres, et didaktisk vennlig grensesnitt som ligner på det av CFDisk vil vises for å veilede deg under hele prosessen.
Når den er installert, kjør den ved å ringe programmet:
# Photorec
Husk å kjøre Photorec med nok tillatelser til å få tilgang til enheten som skal skåres ut.
På den første skjermen må du velge kildedisken eller bildet som Photorec trenger for å gjenopprette dataene. I dette tilfellet velger jeg enheten /dev /sdb som vist på bildet nedenfor:
I dette trinnet må du velge partisjonen du vil gjenopprette dataene.
Hvis partisjoner ikke blir funnet og oppført før du fortsetter med et søk ved hjelp av tastaturpilene, flytter du til Filopt For å utforske de tilgjengelige alternativene som vist på bildet nedenfor:
Som du kan se innen Filopt Du kan øke resultatnøyaktigheten du ønsker ved å spesifisere typen filer du leter etter. Velg typen filer du vil ha, og trykk deretter på b å fortsette, eller Slutte å gå tilbake.
En gang tilbake i forrige skjermbilde Velg Søk og trykk Enter for å fortsette å starte datarevinningsprosessen.
På dette stadiet vil den fremste spørre hvilken type filsystem enheten har eller pleide å ha, i dette tilfellet var det fett eller NTF -er, velg riktig filsystem, selv om det for øyeblikket er ødelagt og trykk TAST INN.
Endelig vil Photorec spørre hvor du vil lagre filene, jeg har nettopp forlatt skrivebordet, men du kan opprette en dedikert mappe for den, etter å ha valgt destinasjonspressen C å fortsette.
Prosessen starter og kan vare noen minutter eller timer avhengig av størrelsen.
På slutten av prosessen vil PhotoRect varsle opprettelsen av en katalog med de gjenopprettede filene, i dette tilfellet recup_dir* på skrivebordet som tidligere er valgt som destinasjon.
Som med fremst kan du liste opp alle filer fra konsollen:
Eller du kan bla gjennom filer ved å bruke din foretrukne grafiske filbehandling:
Konklusjon om datagjenoppretting fra harddisken med Photorec og fremst:
Begge verktøyene leder filutskjæringsmarkedet, begge verktøyene gjør det mulig å gjenopprette alle typer filer, fremst støtter utskjæring jpg, gif, png, BMP, avi, EXE, mpg, Wav, riff, WMV, MOV, PDF, ole, Doc, glidelås, rar, htm, og CPP og mer. Begge verktøyene er kompatible med diskbilder som DD eller for Encase. Mens Photorec videresender seg på brute force som gir en dypere utskjæring, fokuserer fremst på blokkering av topptekster og bunntekst som jobber raskere. Begge verktøyene er inkludert i de mest populære rettsmedisinske suitene og OS -distribusjonene som Deft/Deft Zero Live eller Caine som ble beskrevet på https: // Linuxhint.com/live_forensics_tools/.
Ved å bruke Photorec eller fremst gir muligheten til å anvende high nivå rettsmedisinske verktøy selv for innenlandsk bruk, har de nevnte verktøyene ikke komplekse flagg og alternativer for å legge til lanseringen av dem.
Jeg håper du fant denne opplæringen om hvordan du gjenopprettes fra harddisken nyttig. Fortsett å følge Linuxhint for flere tips og oppdateringer om Linux og nettverksbygging.