Startseite » wie man » Wiederherstellen von Daten wie ein Forensics-Experte mithilfe einer Ubuntu Live-CD

    Wiederherstellen von Daten wie ein Forensics-Experte mithilfe einer Ubuntu Live-CD

    Es gibt viele Hilfsprogramme zum Wiederherstellen gelöschter Dateien, aber was ist, wenn Sie Ihren Computer nicht starten können oder das gesamte Laufwerk formatiert wurde? Wir zeigen Ihnen einige Tools, mit denen Sie tief greifende gelöschte Dateien oder sogar ganze Festplattenpartitionen wiederherstellen können.

    Wir haben Ihnen einfache Wege aufgezeigt, versehentlich gelöschte Dateien wiederherzustellen. Dies ist sogar eine einfache Methode, die von einer Ubuntu Live-CD durchgeführt werden kann. Bei stark beschädigten Festplatten können diese Methoden jedoch nicht ausreichen. In diesem Artikel werden vier Tools beschrieben, mit denen Daten von den am meisten durcheinandergebrachten Festplatten wiederhergestellt werden können, unabhängig davon, ob sie für einen Windows-, Linux- oder Mac-Computer formatiert wurden oder ob die Partitionstabelle vollständig gelöscht wurde.

    Hinweis: Diese Tools können keine Daten wiederherstellen, die auf einer Festplatte überschrieben wurden. Ob eine gelöschte Datei überschrieben wurde, hängt von vielen Faktoren ab. Je schneller Sie erkennen, dass Sie eine Datei wiederherstellen möchten, desto eher können Sie dies tun.

    Unser Setup

    Um diese Tools zu zeigen, haben wir eine kleine Festplatte mit 1 GB eingerichtet, wobei die Hälfte des Speicherplatzes als ext2 (ein in Linux verwendetes Dateisystem) und die Hälfte des Speicherplatzes als FAT32 (ein in älteren Windows-Systemen verwendetes Dateisystem) partitioniert ist. Wir haben zehn zufällige Bilder auf jeder Festplatte gespeichert.

    Wir haben dann die Partitionstabelle von der Festplatte gelöscht, indem Sie die Partitionen in GParted gelöscht haben.

    Sind unsere Daten für immer verloren??

    Die Werkzeuge installieren

    Alle Tools, die wir verwenden werden, sind in Ubuntu enthalten Universum Repository.

    Um das Repository zu aktivieren, öffnen Sie den Synaptic Package Manager, indem Sie oben links auf System klicken und dann auf Administration> Synaptic Package Manager klicken.

    Klicken Sie auf Einstellungen> Repositorys und aktivieren Sie das Kontrollkästchen "Von der Community gewartete Open Source-Software (Universum)"..

    Klicken Sie auf Schließen und dann im Hauptfenster des Synaptic Package Manager auf die Schaltfläche Neu laden. Wenn die Paketliste neu geladen wurde und der Suchindex neu erstellt wurde, suchen Sie nach einem oder allen der folgenden Pakete, und markieren Sie sie zur Installation: Testdisk, vor allem, und Skalpell.

    Testdisk Dazu gehören TestDisk, mit dem verlorene Partitionen wiederhergestellt und Bootsektoren repariert werden können, und PhotoRec, mit dem viele verschiedene Dateitypen aus einer Vielzahl unterschiedlicher Dateisysteme wiederhergestellt werden können.

    Vor allem, Ursprünglich vom US-Luftwaffenamt für Sonderermittlungen entwickelt, stellt es Dateien anhand ihrer Kopfzeilen und anderer interner Strukturen wieder her. Foremost arbeitet mit Festplatten oder Image-Dateien, die mit verschiedenen Tools erstellt wurden.

    Endlich, Skalpell führt die gleichen Funktionen aus wie vor allem, konzentriert sich jedoch auf verbesserte Leistung und geringeren Speicherbedarf. Das Skalpell läuft möglicherweise besser, wenn Sie eine ältere Maschine mit weniger RAM haben.

    Stellen Sie Festplattenlaufwerke wieder her

    Wenn Sie Ihre Festplatte nicht bereitstellen können, ist ihre Partitionstabelle möglicherweise beschädigt. Bevor Sie versuchen, Ihre wichtigen Dateien wiederherzustellen, können Sie möglicherweise eine oder mehrere Partitionen auf Ihrer Festplatte wiederherstellen, indem Sie alle Ihre Dateien in einem Schritt wiederherstellen.

    Testdisk ist das Werkzeug für den Job. Starten Sie es, indem Sie ein Terminal öffnen (Applications> Accessories> Terminal) und Folgendes eingeben:

    Sudo Testdisk

    Wenn Sie möchten, können Sie eine Protokolldatei erstellen. Die Anzahl der wiederherzustellenden Daten wird jedoch nicht beeinflusst. Wenn Sie Ihre Wahl getroffen haben, werden Sie mit einer Liste der Speichermedien auf Ihrem Computer begrüßt. Sie sollten in der Lage sein, die Festplatte, von der Partitionen wiederhergestellt werden sollen, anhand ihrer Größe und ihres Labels zu identifizieren.

    TestDisk fordert Sie auf, den Typ der zu durchsuchenden Partitionstabelle auszuwählen. In den meisten Fällen (ext2 / 3, NTFS, FAT32 usw.) sollten Sie Intel auswählen und die Eingabetaste drücken.

    Markieren Sie Analyse und drücken Sie die Eingabetaste.

    In unserem Fall wurde unsere kleine Festplatte zuvor als NTFS formatiert. Erstaunlicherweise findet TestDisk diese Partition, kann sie jedoch nicht wiederherstellen.

    Es findet auch die zwei Partitionen, die wir gerade gelöscht haben. Wir können ihre Attribute ändern oder weitere Partitionen hinzufügen, aber wir werden sie einfach wiederherstellen, indem Sie die Eingabetaste drücken.

    Wenn TestDisk nicht alle Partitionen gefunden hat, können Sie eine tiefere Suche durchführen, indem Sie diese Option mit der linken und der rechten Pfeiltaste auswählen. Wir hatten nur diese beiden Partitionen, also werden wir sie wiederherstellen, indem Sie Write auswählen und die Eingabetaste drücken.

    Testdisk informiert uns, dass wir einen Neustart durchführen müssen.

    Hinweis: Wenn Ihre Ubuntu Live-CD nicht dauerhaft ist, müssen Sie beim Neustart alle zuvor installierten Tools erneut installieren.

    Nach dem Neustart befinden sich beide unserer Partitionen wieder im ursprünglichen Zustand, in Bildern und auf allen anderen.

    Stellen Sie Dateien bestimmter Typen wieder her

    Für die folgenden Beispiele haben wir die 10 Bilder aus beiden Partitionen gelöscht und dann neu formatiert.

    PhotoRec

    Von den drei Tools werden wir zeigen, PhotoRec ist das benutzerfreundlichste, obwohl es ein konsolenbasiertes Dienstprogramm ist. Um die Wiederherstellung von Dateien zu starten, öffnen Sie ein Terminal (Anwendungen> Zubehör> Terminal) und geben Sie Folgendes ein:

    sudo photorec

    Zu Beginn werden Sie aufgefordert, ein zu durchsuchendes Speichergerät auszuwählen. Sie sollten in der Lage sein, das richtige Gerät anhand seiner Größe und Bezeichnung zu identifizieren. Wählen Sie das richtige Gerät aus und drücken Sie die Eingabetaste.

    PhotoRec fordert Sie auf, den Typ der zu durchsuchenden Partition auszuwählen. In den meisten Fällen (ext2 / 3, NTFS, FAT usw.) sollten Sie Intel auswählen und die Eingabetaste drücken.

    Sie erhalten eine Liste der Partitionen auf Ihrer ausgewählten Festplatte. Wenn Sie alle Dateien auf einer Partition wiederherstellen möchten, wählen Sie Suchen und drücken Sie die Eingabetaste.

    Dieser Vorgang kann jedoch sehr langsam sein. In unserem Fall möchten wir nur nach Bilddateien suchen. Verwenden Sie stattdessen die rechte Pfeiltaste, um File Opt auszuwählen, und drücken Sie die Eingabetaste.

    PhotoRec kann viele verschiedene Arten von Dateien wiederherstellen, und die Auswahl der einzelnen Dateien würde lange dauern. Stattdessen drücken wir "s", um alle Auswahlen zu löschen, und suchen dann die entsprechenden Dateitypen - jpg, gif und png - und wählen sie durch Drücken der rechten Pfeiltaste aus.

    Sobald wir diese drei ausgewählt haben, drücken wir "b", um diese Auswahl zu speichern.

    Drücken Sie die Eingabetaste, um zur Liste der Festplattenpartitionen zurückzukehren. Wir möchten beide Partitionen durchsuchen. Wir markieren also "Keine Partition" und "Suchen" und drücken dann die Eingabetaste.

    PhotoRec fordert zur Angabe eines Speicherorts für die wiederhergestellten Dateien auf. Wenn Sie eine andere gesunde Festplatte haben, empfehlen wir, die wiederhergestellten Dateien dort zu speichern. Da wir uns nicht so sehr erholen, speichern wir sie auf dem Desktop der Ubuntu Live CD.

    Hinweis: Stellen Sie keine Dateien auf der Festplatte wieder her, von der Sie wiederherstellen.

    PhotoRec kann die 20 Bilder von den Partitionen auf unserer Festplatte wiederherstellen!

    Ein kurzer Blick in das erstellte Verzeichnis recup_dir.1 bestätigt, dass PhotoRec alle unsere Bilder wiederhergestellt hat, abgesehen von den Dateinamen.

    Vor allem

    Foremost ist ein Befehlszeilenprogramm ohne interaktive Benutzeroberfläche wie PhotoRec, bietet jedoch eine Reihe von Befehlszeilenoptionen, um so viel Daten wie möglich aus Ihrem Laufwerk herauszuholen.

    Um eine vollständige Liste der Optionen zu erhalten, die über die Befehlszeile angepasst werden können, öffnen Sie ein Terminal (Anwendungen> Zubehör> Terminal) und geben Sie Folgendes ein:

    vor allem -h

    In unserem Fall verwenden wir folgende Befehlszeilenoptionen:

    • -t, eine durch Kommas getrennte Liste von Dateitypen, nach denen gesucht werden soll. In unserem Fall ist dies "jpeg, png, gif"..
    • -v, wodurch der Verbose-Modus aktiviert wird, wodurch mehr Informationen darüber erhalten werden, was in erster Linie getan wird.
    • -o, der Ausgabeordner, in dem wiederhergestellte Dateien gespeichert werden sollen. In unserem Fall haben wir auf dem Desktop ein Verzeichnis mit dem Namen „foremost“ erstellt.
    • -i, die Eingabe, die nach Dateien gesucht wird. Dies kann ein Disk-Image in verschiedenen Formaten sein. Wir verwenden jedoch eine Festplatte / dev / sda.

    Unser Hauptaufruf ist:

    sudo foremost -t jpeg, png, gif -o vorder -v -i / dev / sda

    Ihr Aufruf hängt davon ab, was Sie suchen und wo Sie danach suchen.

    Foremost kann 17 der 20 auf der Festplatte gespeicherten Dateien wiederherstellen.

    Wenn Sie sich die Dateien ansehen, können wir bestätigen, dass diese Dateien relativ gut wiederhergestellt wurden. In der Miniaturansicht von 00622449.jpg können jedoch einige Fehler angezeigt werden.

    Ein Teil davon kann auf das ext2-Dateisystem zurückzuführen sein. Foremost empfiehlt die Verwendung der Befehlszeilenoption -d für Linux-Dateisysteme wie ext2.

    Wir werden zuerst erneut ausführen und die Befehlszeilenoption -d zu unserem ersten Aufruf hinzufügen:

    sudo foremost -t jpeg, png, gif -d -o foremost -v -i / dev / sda

    Diesmal können vor allem alle 20 Bilder wiederhergestellt werden!

    Ein letzter Blick auf die Bilder zeigt, dass die Bilder ohne Probleme wiederhergestellt wurden.

    Skalpell

    Skalpell ist ein weiteres leistungsfähiges Programm, das wie Foremost stark konfigurierbar ist. Im Gegensatz zu Foremost müssen Sie bei Scalpel eine Konfigurationsdatei bearbeiten, bevor Sie eine Datenwiederherstellung versuchen.

    Jeder Texteditor reicht aus, aber wir ändern die Konfigurationsdatei mit gedit. Geben Sie in einem Terminalfenster (Anwendungen> Zubehör> Terminal) Folgendes ein:

    Sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf enthält Informationen zu verschiedenen Dateitypen. Blättern Sie durch diese Datei und entfernen Sie die Kommentarzeilen, die mit einem Dateityp beginnen, den Sie wiederherstellen möchten (d. H. Das Zeichen "#" am Anfang dieser Zeilen entfernen)..

    Speichern Sie die Datei und schließen Sie sie. Kehren Sie zum Terminalfenster zurück.

    Scalpel verfügt außerdem über eine Vielzahl von Befehlszeilenoptionen, mit denen Sie schnell und effektiv suchen können. Wir definieren jedoch nur das Eingabegerät (/ dev / sda) und den Ausgabeordner (einen Ordner namens "Skalpell", den wir auf dem Desktop erstellt haben)..

    Unser Aufruf ist:

    Sudo-Skalpell / dev / sda -o Skalpell

    Das Skalpell kann 18 unserer 20 Dateien wiederherstellen.

    Ein Blick auf die Dateien, die das Skalpell wiederhergestellt hat, zeigt, dass die meisten unserer Dateien erfolgreich wiederhergestellt wurden. Es gab jedoch einige Probleme (z. B. 00000012.jpg)..

    Fazit

    In unserem kurzen Spielzeugbeispiel konnte TestDisk zwei gelöschte Partitionen wiederherstellen, und PhotoRec und Foremost konnten alle 20 gelöschten Bilder wiederherstellen. Die meisten Dateien wurden von Scalpel wiederhergestellt, aber wenn Sie mit den Befehlszeilenoptionen für das Skalpell spielen, hätten wir wahrscheinlich alle 20 Bilder wiederhergestellt.

    Diese Tools sind Lebensretter, wenn mit Ihrer Festplatte etwas schief geht. Wenn sich Ihre Daten irgendwo auf der Festplatte befinden, wird eines dieser Tools es aufspüren!

    Wiederherstellen von Dateien mit Schattenkopien unter Windows Vista
    Verlorene Formulardaten in Firefox wiederherstellen
    Nehmen Sie kostenlos Videos von Ihrem Desktop auf einem beliebigen Betriebssystem auf
    Nächste Artikel
    Stellen Sie gelöschte Dateien auf einer NTFS-Festplatte von einer Ubuntu Live-CD wieder her
    Vorheriger Artikel
    Zeichnen Sie Ihre Befehlszeilensitzungen mit Asciinema auf