Как восстановить данные в Ubuntu Linux
Часто возникает необходимость восстановить удаленный файл в Ubuntu/Linux. Многие «эксперты» говорят о том, что это невозможно для ext2/ext3. Не верьте им! Это отлично умеет делать программа Sleuth Kit.
Программа работает с сырыми (raw) данными; поддерживает файловые системы NTFS, FAT, UFS 1, UFS 2, EXT2, EXT3, ISO 9660; работает под операционными системами Linux, Mac OS X, Windows, CYGWIN, OpenBSD, FreeBSD, Solaris.
Sleuthkit и Autopsy: криминалистический анализ файловых систем (восстановление удаленных файлов) с помощью
Наверное, все видели в голливудских фильмах, как преступник стирает файлы, и вообще разбивает компьютер, но приходят следователи из ФБР и быстро восстанавливают улики? Ну так вот, это называется криминалистическим анализом файловой системы. Это реальная работа, которой занимаются компьютерные кудесники из спецслужб каждый день. А теперь подумайте, если можно удалить все файлы с компьютера, грохнуть сам компьютер, а потом придут специалисты и все играючи восстановят, стоит ли вам огорчаться в тех ситуациях, когда вы случайно удалили файл? Нет! Его восстановить еще проще! Правда, придется воспользоваться инструментами, которыми пользуются IT-профессионалы из спецслужб. К счастью, мы знаем названия этих программ и этот волшебный софт есть в свободном доступе. Знакомьтесь — Sleuthkit и Autopsy.
Остались вопросы? Подробности об Sleuth Kit на русском можно найти здесь. С Autopsy можно познакомиться, запустив специальный Linux-дистрибутив для криминалистов. Он называется DEFT и уже содержит в себе установленный и настроенный пакет Autopsy.
Почему удаленные данные возможно восстановить
Когда удаляется файл с диска, на самом деле физического уничтожения данных не происходит. В таблице размещения файлов просто делается отметка, что файл стоит считать удаленным. Программа восстановления может удалить эту отметку и файл снова станет доступным для пользователя.
Структура файловой системы Ext.
Почему удаленные файлы не всего удается восстановить
После того, как файл был помечен как удаленный, операционная система не будет больше держать под контролем место на диске, занимаемое файлом. Это значит, что любой новый файл с высокой вероятностью будет записан поверх данных старого файла и тогда восстановление будет уже невозможно. Отсюда главное правило восстановления: если вы случайно что-то удалили с диска, немедленно отключите этот диск. Если диск является системным, выключите компьютер. Для восстановления данных потребуется загрузиться с другого диска. Удобно использовать для этих целей Live CD с Линуксом.
Программы для восстановления данных
Одной из самых удобных программ для восстановления данных является программа Scalpel (Скальпель). Удобна она тем, что позволяет проводить восстановление автоматически, без непосредственного вмешательства пользователя и тем, что не зависит от используемой файловой системы.
Подробности о программе восстановления удаленных файлов Scalpel можно узнать тут и тут.
Если данные потеряны в Linux, то есть одна простая программа ext3grep, позволяющая даже новичку восстановить удаленное. Единственный ее минус заключается в поддержке исключительно файловых систем семейства Ext.
С восстановлением файлов под Mac OS X все немного сложнее. Узнать основы восстановления данных в Mac OS можно здесь.
Как восстановить файлы на SD-карте
Точно так же, как и файлы, удаленные с диска. Нет абсолютно никакой разницы, ведь на жестких дисках и SD-картах используются одни и те же файловые системы (FAT и NTFS). Просто вытащите SD-карту из телефона или фотоаппарата и через кард-ридер подключите к персональному компьютеру. Теперь вы можете восстановить свои файлы с помощью программ Sleuth Kit, Autopsy или Scalpel (описанных выше).
Как восстановить файлы на телефоне
Если данные были потеряны на телефоне, то нужно извлечь карту памяти и запустить процедуру восстановления файлов с карты. Если файлы были стерты из внутренней памяти телефона, тогда нужно подключить телефон USB-кабелем к ПК и воспользоваться программами восстановления данных.
Комментарии
pomodor
12 ноября, 2008 - 12:54
Проверил. Замечательно работает (при условии, что удаленный файл не перезаписан поверх чем-то еще). Список удаленных файлов можно просмотреть командой fls -rd /dev/sda1 и восстановить командой blkls или dd.
Чингачгук
17 ноября, 2008 - 06:56
Вот так я восстановил все удаленные фотографии с карточки фотоаппарата:
for i in $(fls -rd /dev/sda1|awk {'print $3'}|tr -d [:]); do icat -r -f fat /dev/sda1 $i > /home/yuri/photo/$i.jpg;donepomodor
17 ноября, 2008 - 11:28
Браво! Отличная конструкция!
Чингачгук
28 ноября, 2008 - 03:08
если б еще hfs поддерживала...
Чингачгук
7 мая, 2009 - 19:25
Добрый день!
А можно поподробнее описать процесс восстановления файлов?
Спасибо
Чингачгук
25 июля, 2009 - 22:42
Объяснил бы, как при помощи dd восстановить
Чингачгук
23 декабря, 2010 - 01:33
А можно поточнее как восстановить, сам запрятаный файл я нашел и что с ним далее делать?
pomodor
23 декабря, 2010 - 01:39
Сделать его менее запрятанным.
Чингачгук
12 декабря, 2008 - 18:50
Спасибо, полезная информация )
Чингачгук
2 февраля, 2009 - 16:39
Что бы установить программу для gentoo надо просто ввести:
emerge app-forensics/sleuthkit
melcomtec
1 сентября, 2009 - 13:23
Пока что меня Бог миловал. Нигде ничего восстанавливать не нужно было. Но это у меня дома. А что касается остальных, то это очень даже распространённая проблема. Так что я взял на заметку. Спасибо!
Чингачгук
7 мая, 2010 - 15:21
Вроде как свежая версия уже и HFS+ понимает, и во FreeBSD она в портах есть.
pomodor
15 июня, 2010 - 04:18
15 тыс просмотров!... Рекорд для топиков на L.? :) Неужели так много людей, которые забывают архивировать важные для них данные?
Dmitry
15 июня, 2010 - 09:38
Скорее сперва жмут удалить, а потом думают, а нужно ли им это :)
А вообще статья полезная, надо будет попробовать эту программу. Хотя удалять файлы по ошибке случается довольно редко.
Чингачгук
21 ноября, 2010 - 14:40
статья. [цензура]
pomodor
21 ноября, 2010 - 14:54
Бан. Причем, не за мат, а за умственную неполноценность.
Чингачгук
5 февраля, 2015 - 15:18
52934 просмотра
comrade
25 ноября, 2010 - 17:08
http://myubuntu.ru
Восстановление данных в Ubuntu - testdisk
Необходимость в восстановлении данных существует в самых разных операционных системах. Ubuntu не является исключением. И хотя эта операция не так распространена, но даже ради одного единственного случая необходимо знать, как восстанавливать данные в Ubuntu. Как раз у меня произошло ЧП. Вернее не у меня, а у моего приятеля.
Он недавно решил, что на его флешке объёмом в 8 ГГбайт слишком много разных файлов и он, не глядя и не разбираясь, что там находится, решил всё удалить с неё. Он по профессии копирайтер и на flash-накопителе содержались разного рода файлы – музыка, видео, и, что главное, куча его документов – статей. В общем, он их удалил и только спустя несколько секунд по завершении операции, понял, какую глупость совершил.
Попробуем ему помочь, заодно и сами поучимся. Но вначале немного теории. Удаление файлов в Linux операция очень серьёзная. Решаясь на неё вы тем самым сразу же подтверждаете, что во-первых, «вы это серьёзно», во-вторых, «вы в своём уме». Никаких вопросов, придуманных в Майкрософт, типа «Вы действительно хотите удалить файл?» в Linux, если это не настроили разработчики, нет. Ну что же, попугали, а теперь перейдём к позитиву.
В Ubuntu (по крайней мере, в моём 10.10) при удалении файлов они перемещаются в корзину. Разумная настройка, особенно для таких как мой приятель. Честно признаться, ему как раз эта функция и помогла. Даже при удалении с flash-накопителя все файлы попадают в Ubuntu в корзину.
И даже больше — в Ubuntu в меню графического интерфейса отсутствует пункт «Удалить», а кнопка Del на клавиатуре работает в режиме перемещения в корзину.
Но что делать, если не просто были удалены файлы, а ещё и был потерян целый раздел?
Утилита для восстановления разделов в Ubuntu – testdisk
Наверное, у каждого пользователя Linux есть свои методы восстановления. Но чаще всего на форумах подсказывают, что одной из самых популярных утилит является testdisk. Ставится или из Synaptic или, как обычно, из консоли:
sudo apt-get install testdisk
Пользоваться утилитой нужно в консоли. Запускаете с административными правами:
sudo testdisk
Вначале testdisk попытается найти физические диски. Затем необходимо ему сказать, на каких дисках возникли проблемы. После этого нужно подсказать утилите, а какого типа у вас файловая система. Ткнув наобум я получил выговор и параллельно был спрошен, а не Vista ли создала этот раздел. Согласившись, «что Vista», утилита радостно позеленела и сказала даже какая именно у меня файловая система. Далее нужно просто читать, что именно нужно сделать. Мне, например, нужно было нажать английскую букву P- list files. После этого мне был выдан громадный список всех «живших» когда-то на флешке файлов. Если вас интересует разработка качественного сайта, с сервером на котором установлен Linux, то рекомендуем вам следующий ресурс www.website-turnkey.com.ua, соотношение цены и качества приятно удивят.
Выбирая файл и нажимая C на клавиатуре я восстанавливаю нужный мне файл. Просто отличная утилита. Кстати, именно благодаря тому, что она консольная, скорость работы её так велика.
А вы чем восстанавливаете информацию в Ubuntu?
http://myubuntu.ru/rukovodstvo/vosstanovlenie-dannyx-v-ubuntu/
pomodor
25 ноября, 2010 - 17:18
Реклама website-turnkey? Смысл всей стать сводится к одному предложению: для восстановления данных можно использовать программу testdisk. На кой там трогательная история про приятеля-идиота не совсем понятно. Я бы вместо кучи ссылок на левые ресурсы дал бы следующие две ссылки:
Официальный сайт TestDisk: http://www.cgsecurity.org/wiki/TestDisk
И статью из Wiki: http://ru.wikipedia.org/wiki/TestDisk
comrade
8 октября, 2011 - 16:00
Вот здесь http://tuksik.ru/photorec/
довольно подробно (и с картинками:-) написано, как восстанавливать данные с помощью программы photorec из пакета testdisk.
«От ошибок никто не застрахован, да и ещё у каждого третьего есть дурацкая привычка удалять файлы через Shift+del. Думаю понятно к чему я клоню: файл исчез и его надо вернуть.
Для этого нам поможет программа photorec, которая работает из консоли и имеет псевдографический интерфейс, а главное то, что программа умеет восстанавливать файлы со всех популярных файловых систем
(fat, ntfs, ext, маков и т.п.).
Установить photorec в ubuntu можно вместе с пакетом testdisk:
sudo apt-get install testdisk
Программа требует права рута, а значит запускаем её через:
sudo photorec
..........
Следует обратить, что можно восстанавливать данные и с флешки.»
Картинки можете на том сайте посмотреть, но вроде ничего сложного…
Сам не пользовался, врать не буду! Не было надобности:))
Чингачгук
4 января, 2011 - 14:50
Как этой прогой восстановить удаленные файлы из конкретной папки а не со всего диска? И можно ли фильтровать по дате удаления?
Чингачгук
25 января, 2011 - 21:43
Спасибо автору. Я удалил очень важную инфу , много пересмотрел для этого прог и нашел вот эту прогу для восстановления данных Magic Uneraser v2.0 Portable, скачать можно здесь [отцензурировано] с кряком (ключами)
pomodor
25 января, 2011 - 21:48
Пожалуйста. В качестве бонуса — бан за спам и ссылки на кряки. Это ж каким нужно быть идиотом, чтобы на сайте об СПО кряки рекламировать.
omg
25 января, 2011 - 21:54
LOL Подоконник затесался чтоли...
Комментировать