Wyszukiwanie w witrynie

Zainstaluj Scalpel (narzędzie do odzyskiwania systemu plików), aby odzyskać usunięte pliki/foldery w systemie Linux

Często zdarza się, że przypadkowo lub przez pomyłkę naciskamy „shift + Delete” przy plikach. Z natury ludzkiej masz zwyczaj używania „shift + Del” zamiast używania samej opcji „Usuń”. Rzeczywiście, kilka dni temu miałem taki przypadek. Pracowałem nad projektem i zapisałem plik roboczy w katalogu. W tym katalogu znajdowało się wiele niechcianych plików, które należy trwale usunąć. Zacząłem więc usuwać je jeden po drugim. Podczas usuwania tych plików przypadkowo nacisnąłem „shift Delete” przy jednym z moich ważnych plików. Plik został trwale usunięty z mojego katalogu. Zastanawiałem się, jak odzyskać usunięte pliki i nie miałem pojęcia, co robić. Prawie spędziłem dużo czasu na przywracaniu pliku, ale bez powodzenia.

Mając odrobinę wiedzy technicznej, wiedziałem, jak działa system plików i HDD. Jeśli przypadkowo usuniesz plik, jego zawartość nie zostanie usunięta z komputera. Jest on po prostu usuwany z folderu bazy danych i nie można zobaczyć pliku w katalogu, ale nadal pozostaje on gdzieś na dysku twardym. Zasadniczo system ma wskaźnik listy bloków na urządzeniu magazynującym, w którym nadal znajdują się dane. Dane nie zostaną usunięte z urządzenia pamięci blokowej, chyba że zostaną nadpisane nowym plikiem. W tym momencie poinformowałem, że usunięty plik może nadal znajdować się gdzieś w niezindeksowanym obszarze dysku twardego. Zaleca się jednak natychmiastowe odmontowanie urządzenia, gdy tylko zorientujesz się, że usunąłeś jakikolwiek ważny plik. Odmontowanie pomaga zapobiec zastąpieniu zablokowanych plików nowym plikiem.

W tym scenariuszu nie chciałem nadpisywać tych danych, dlatego wolałem wyszukiwać na dysku twardym bez jego montowania.

Zwykle w Windowsie dostępnych jest mnóstwo narzędzi innych firm do odzyskiwania utraconych danych, ale w Linuksie tylko kilka. Jednakże używam Ubuntu jako systemu operacyjnego i bardzo trudno jest znaleźć narzędzie, które odzyska utracone pliki. Podczas moich poszukiwań dowiedziałem się o „Skalpelu” – narzędziu, które przegląda cały dysk twardy i odzyskuje utracony plik. Zainstalowałem i pomyślnie odzyskałem utracony plik za pomocą narzędzia Scalpel. Muszę przyznać, że to naprawdę niesamowite narzędzie.

To może się zdarzyć również Tobie. Pomyślałem więc, żeby podzielić się z wami moimi doświadczeniami. W tym artykule pokażę Ci, jak odzyskać usunięte pliki za pomocą narzędzia skalpela. Więc zaczynamy.

Co to jest narzędzie skalpel?

Scalpel to narzędzie do odzyskiwania systemu plików typu open source dla systemów operacyjnych Linux i Mac. Narzędzie odwiedza blokową bazę danych, identyfikuje z niej usunięte pliki i natychmiast je odzyskuje. Oprócz odzyskiwania plików jest to również przydatne w dochodzeniach z zakresu kryminalistyki cyfrowej.

Jak zainstalować Scalpel w Debianie/Ubuntu i Linux Mint

Aby zainstalować Scalpel, otwórz terminal, wykonując „CTrl+Alt+T” na pulpicie i uruchom następujące polecenie.

sudo apt-get install scalpel
Przykładowe wyjście
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Instalowanie Scalpela w RHEL/CentOS i Fedorze

Aby zainstalować narzędzie do odzyskiwania skalpela, musisz najpierw włączyć repozytorium epel. Po włączeniu możesz wykonać „mniam”, aby zainstalować go, jak pokazano.

yum install scalpel
Przykładowe wyjście
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Po zainstalowaniu skalpela należy dokonać edycji tekstu. Domyślnie narzędzie skalpel ma swój własny plik konfiguracyjny w katalogu „/etc”, a pełna ścieżka to „/etc/scalpel/scalpel.conf” lub „/etc /scalpel.conf„. Możesz zauważyć, że wszystko jest skomentowane (#). Dlatego przed uruchomieniem skalpela musisz odkomentować format pliku, który chcesz odzyskać. Jednak odkomentowanie całego pliku jest czasochłonne i generuje ogromne fałszywe wyniki.

Załóżmy na przykład, że chcę odzyskać tylko pliki „.jpg”, więc po prostu odkomentuj sekcję pliku „.jpg” dotyczącą pliku konfiguracyjnego skalpela.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Przejdź do terminala i wpisz następującą składnię. „/dev/sda1” to lokalizacja urządzenia, z którego plik został już usunięty.

sudo scalpel /dev/sda1-o output

Przełącznik „-o” wskazuje katalog wyjściowy, w którym chcesz przywrócić usunięte pliki. Przed uruchomieniem dowolnego polecenia upewnij się, że ten katalog jest pusty, w przeciwnym razie wyświetli się błąd. Dane wyjściowe powyższego polecenia to.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Jak widać, skalpel wykonuje teraz swój proces i odzyskanie usuniętego pliku może zająć trochę czasu, w zależności od ilości miejsca na dysku, które próbujesz przeskanować i szybkości komputera.

Radziłbym wam wszystkim, abyście wyrobili sobie nawyk używania tylko delete zamiast „Shift + Delete”. Bo jak powiedziano, zawsze lepiej jest zapobiegać niż leczyć.