Phenquestions
Gegevensherstel vanaf harde schijf met vooral:
Laten we om te beginnen de aangesloten opslagapparaten bekijken met behulp van de opdracht lsblk, op de console uitvoeren:
# lsblk
Lsblk toont alle beschikbare opslagapparaten en partities, inclusief swap- en optische apparaten, in dit geval wil ik het sdb-apparaat.
Opmerking: voor meer informatie over het lsblk-commando read Een lijst maken van alle Linux-schijfapparaten.
Zoals je kunt zien, heette de 32 GB USB-pendrive sdb en dat is het apparaat waar ik aan ga werken.
Gegevensherstel van USB-drive met Foremost:
Om gegevensherstel vanaf een USB-station te starten, begint u met het installeren van Foremost met behulp van de APT-pakketbeheerder op Debian of gebaseerde Linux-distributies door het volgende uit te voeren:
# apt install belangrijkste
Na installatie kun je de man-pagina weergeven om alle beschikbare opties te controleren:
# man vooral
Van de man-pagina begrijpen we de vlag -ik is om een invoerbestand te bepalen, van waaruit Foremost gaat werken. Het is meestal bedoeld om te werken met afbeeldingen zoals deze geproduceerd door tools zoals dd of Encase. Om Foremost op de eenvoudigste manier te starten zonder extra vlaggen, voert u de volgende opdracht uit en vervangt /sdb voor de apparaat-ID waarvan u gegevens wilt herstellen.
Rennen:
Waar sdb zet het juiste apparaat.
Eenmaal uitgevoerd ziet het snijproces er als volgt uit:
Opmerking: je kunt ook partities specificeren zoals bijvoorbeeld /dev/sdb1.
Wanneer het proces eindigt, wordt uitgevoerd ls om het aanmaken van een nieuwe map met de naam te bevestigen uitvoer:
# ls
Zoals u kunt zien, bestaat de directory-uitvoer, om de herstelde bestanden te zien, voer deze in met de opdracht CD (Directory wijzigen) en voer vervolgens . uit ls:
# ls
Binnenin zie je mappen voor alle bestandstypen die Foremost heeft weten te herstellen, daarnaast zie je een bestand met de naam audit.txt met een rapport over gesneden bestanden.
U kunt controleren welke bestanden in elke map zijn gevonden door het uitvoeren van ls
U kunt ook door alle herstelde bestanden bladeren via een grafische bestandsbeheerder:
Gegevensherstel vanaf harde schijf met PhotoRec:
FotoRect is samen met Foremost de meest populaire tool voor het snijden van bestanden of gegevensherstel, zowel voor professioneel forensisch gebruik als voor huishoudelijk gebruik. Terwijl Foremost een slimmer herstel uitvoert met snellere prestaties, geeft de brute kracht van PhotoRec betere resultaten bij het snijden van bestanden. Dit gedeelte laat zien hoe u gegevensherstel vanaf de harde schijf uitvoert met PhotoRec.
Om te beginnen op Debian en gebaseerde Linux-distributies, installeer photorec door het volgende uit te voeren:
# apt installeer testdisk
PhotoRec man-pagina is bijna leeg, Photorec is vrij eenvoudig te gebruiken en hoeft alleen maar te worden uitgevoerd, een didactisch vriendelijke interface vergelijkbaar met die van CFDISK zal verschijnen om u te begeleiden tijdens het hele proces.
Eenmaal geïnstalleerd, voer het uit door het programma aan te roepen:
# fotorec
Vergeet niet om PhotoRec uit te voeren met voldoende rechten om toegang te krijgen tot het te snijden apparaat.
Op het eerste scherm moet u de bronschijf of afbeelding selecteren waarvan PhotoRec de gegevens moet herstellen. In dit geval selecteer ik het apparaat /dev/sdb zoals weergegeven in de onderstaande afbeelding:
In deze stap moet u de partitie selecteren waarvan u de gegevens wilt herstellen.
Als partities niet worden gevonden en weergegeven voordat u verder gaat met zoeken, gaat u met de pijltjestoetsen op het toetsenbord naar Bestandsoptie om de beschikbare opties te verkennen, zoals weergegeven in de onderstaande afbeelding:
Zoals je binnen kunt zien Bestandsoptie u kunt de gewenste nauwkeurigheid van het resultaat vergroten door het type bestanden op te geven waarnaar u op zoek bent. Selecteer het gewenste type bestanden en druk vervolgens op b om door te gaan, of Stoppen terug gaan.
Eenmaal terug in het vorige scherm selecteer Zoeken en druk op Enter om door te gaan met het gegevensherstelproces.
In dit stadium zal Foremost vragen welk type bestandssysteem het apparaat heeft of had, in dit geval was het FAT of NTFS, selecteer het juiste bestandssysteem, zelfs als het momenteel kapot is en druk op ENTER.
Ten slotte zal PhotoRec vragen waar u de bestanden wilt opslaan, ik heb zojuist het bureaublad verlaten, maar u kunt er een speciale map voor maken, nadat u de bestemming hebt gekozen, drukt u op C doorgaan.
Het proces begint en kan enkele minuten of uren duren, afhankelijk van de grootte.
Aan het einde van het proces zal PhotoRect het aanmaken van een map melden met de herstelde bestanden, in dit geval recup_dir* binnen het bureaublad dat eerder als bestemming is geselecteerd.
Net als bij Foremost kun je alle bestanden van de console weergeven:
Of u kunt door bestanden bladeren met uw favoriete grafische bestandsbeheerder:
Conclusie over gegevensherstel vanaf de harde schijf met PhotoRec en Foremost:
Beide tools zijn toonaangevend op de markt voor het snijden van bestanden, beide tools maken het mogelijk om elk type bestanden te herstellen, Foremost ondersteunt carving jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, bewegen, pdf, ole, doc, zip, zeldzaam, htm, en cpp en meer. Beide tools zijn compatibel met schijfkopieën zoals dd of voor Encase. Terwijl PhotoRec gebruik maakt van brute kracht voor een diepere carving, richt Foremost zich op blokkop- en voetteksten die sneller werken. Beide tools zijn opgenomen in de meest populaire forensische suites en OS-distributies zoals Deft/Deft Zero live of CAINE die werden beschreven op https://linuxhint.com/live_forensics_tools/.
Het gebruik van PhotoRec of Foremost biedt de mogelijkheid om forensische tools van hoog niveau toe te passen, zelfs voor huishoudelijk gebruik. De genoemde tools hebben geen complexe vlaggen en opties om ze te starten.
Ik hoop dat je deze tutorial over Gegevensherstel vanaf de harde schijf nuttig vond. Blijf Linux volgen Hint voor meer tips en updates over Linux en netwerken.
