В даній статті піде мова про Foremost - зручному і досить простому у використанні інструменті для відновлення файлів.
Замість вступу в сьогоднішній статті буде попередження. Наступний абзац занадто важливий, щоб поміщати його де-небудь, крім початку. Будь ласка, прочитайте його дуже уважно і зробіть правильний вибір.
Відновлення даних в домашніх умовах може призвести до їх остаточної втратою.
Якщо віддалена або іншим способом втрачена інформація дуже важлива, ні в якому разі не намагайтеся врятувати її самостійно. Негайно обесточьте комп'ютер і віднесіть його в сервісний центр, що заслуговує на довіру. Стандартний спосіб виключення краще не використовувати: при виключенні операційна система може виконувати запис на диск і потрапити саме на ті блоки пристрою, де зберігаються частини ваших файлів.
Загальні принципи і правила.
Можливо, ви вже знаєте, що віддалені дані не зникають відразу ж після того, як ви очистили кошик або виконали швидке форматування. Вони лише відзначаються як віддалені, а займане ними місце вважається вільним. Фізично вони будуть знищені тільки тоді, коли буде потрібно що-небудь записати на це місце. Крім того, що такий підхід дозволяє повернути втрачені файли, він корисний ще й тим, що подовжує термін життя диска і прискорює видалення.
З цього випливає просте правило: по можливості нічого не записувати на пристрій, з якого планується щось витягувати. Завантажувати з нього ОС теж не варто. Найоптимальніший варіант - зробити образ диска і працювати з ним. Існує велика кількість програм, що дозволяють зробити повну копію вмісту диска. Одна з найпростіших і доступних - dd. В крайньому випадку хоча б записуйте відновлені дані на інший розділ.
Невелика утиліта, яка присутня в репозиторії Ubuntu. Згідно з інструкцією, foremost розробляли державні служби США, імітуючи функціональність працює в середовищі DOS програми CarvThis. Як би там не було, foremost - зручний і досить простий у використанні інструмент для відновлення файлів.
Для визначення типу файлу використовується не тільки розширення, але і кілька перших байт і інші ознаки.
Для початку - проста установка:
sudo apt install foremost
Погоджуємося встановити пакет, натиснувши Y, трохи чекаємо - і приступаємо до відновлення.
Для прикладу давайте спробуємо знайти всі архіви .zip.
mkdir restored
sudo foremost -v -t zip -i / dev / sdb1 -o
Розглянемо параметри, з якими ми запустили foremost.
-v означає verbose, тобто режим роботи, при якому в консоль будуть виводитися повідомлення про те, що відбувається. Чи не обов'язковий, але дуже корисний параметр.
-t означає, що далі послідують типи файлів, які ми хочемо шукати. Підтримуються часто використовувані .jpg. png, gif, avi, exe і т. д. Забігаючи вперед, скажу, що ви самостійно можете додати будь-яке вас тип файлів. Щоб шукати всі відомі програмі типи файлів, використовуйте значення «all» (т. Е. -t all), або не вказуйте тип зовсім - результат буде той же.
-i (input) говорить про те, що далі ми вкажемо шлях до вхідних даних, або простіше кажучи, місця, де потрібно шукати. Це може бути блоковий пристрій (як в прикладі вище), образ диска або шлях до папки.
-o (output) попереджає, що далі ми вкажемо місце, куди хочемо записувати отримані дані. Можна не вказувати. В цьому випадку там, звідки ви викликали програму, буде створена директорія output.
Дочекавшись закінчення сканування, заглянемо в зазначену нами директорію.
Оскільки foremost ми запускали від імені суперкористувача. файли на виході належать йому. Давайте передамо їх собі:
sudo chown -R $ USER / home / $ USER / restored
Якщо пошук має бути виконувати на пристрої c однією з файлових систем Linux, додайте ключ -d. Більше опцій і іншої корисної інформації ви знайдете в документації foremost. Там же є список форматів, які програма розпізнає без додаткової настройки.
Потрібно більше типів файлів?
Якщо потрібний вам тип файлів програма не розпізнає, загляньте в:
Вам також може сподобатися:
- Scalpel: сучасний інструмент ...
- Відновлення даних за допомогою ...
- Термінал Linux. Команди пошуку ...
- The Sleuth Kit + Autopsy - набір для пошуку ...