Восстановление удаленных файлов с помощью Scalpel

Scalpel — это средство быстрого восстановления удаленных файлов. Уникальность данной программы в том, что она не зависит от файловой системы. Программа ищет по базе данных начало и конец файлов известных форматов и пытается найти их на диске. Поэтому, восстановление возможно как с FATx, NTFS, ext2/3, так и с "голых" (raw) разделов.

Установка программы восстановления данных Scalpel

В Debian или Ubuntu Scalpel устанавливается следующей командой:


apt-get install scalpel


Как восстановить удаленные файлы

Начните знакомство с программой с чтения руководства:

man scalpel


Затем необходимо указать в файле /etc/scalpel/scalpel.conf типы файлов, которые Scalpel будет искать. По-умолчанию, все типы закомментированы. Например, если требуется восстановить файлы формата PDF, то отредактируйте файл:


vi /etc/scalpel/scalpel.conf


следующим образом:


[...]
pdf y 5000000 %PDF %EOF\x0d REVERSE
pdf y 5000000 %PDF %EOF\x0a REVERSE
[...]


Далее необходимо дать команду на восстановление:


scalpel /dev/sda1 -o output


Опция "-o" задает директорию, куда надо поместить восстановленные файлы. После окончания работы в директории output будет создан, в том числе, файл audit.txt, содержащий отчет. Команда


cat output/audit.txt


выведет примерно следующее содержание:

Scalpel version 1.60 audit file
Started at Thu Mar 12 19:01:50 2009
Command line:
scalpel /dev/sda1 -o output

Output directory: /root/output
Configuration file: /etc/scalpel/scalpel.conf

Opening target "/dev/sda1"

The following files were carved:
File              Start                 Chop            Length          Extracted From
00000000.pdf   5712642048               NO           437138             sda1

Completed at Thu Mar 12 19:10:33 2009

В директории output/pdf-0-0/ можно найти восстановленный PDF.