Εγκαταστήστε το Scalpel (Εργαλείο αποκατάστασης συστήματος αρχείων) για να ανακτήσετε τα διαγραμμένα αρχεία/φακέλους στο Linux

Πολλές φορές συμβαίνει να πατήσουμε κατά λάθος ή κατά λάθος «shift + delete» σε αρχεία. Από ανθρώπινη φύση έχετε τη συνήθεια να χρησιμοποιείτε το «shift + Del» αντί να χρησιμοποιείτε μόνο την επιλογή «Διαγραφή». Πράγματι, είχα αυτό το περιστατικό πριν από λίγες μέρες. Δούλευα σε ένα έργο και αποθήκευσα το αρχείο εργασίας μου σε έναν κατάλογο. Υπήρχαν πολλά ανεπιθύμητα αρχεία σε αυτόν τον κατάλογο και πρέπει να διαγραφούν οριστικά. Άρχισα λοιπόν να τα διαγράφω ένα προς ένα. Κατά τη διαγραφή αυτών των αρχείων, πάτησα κατά λάθος "shift delete" σε ένα από τα σημαντικά αρχεία μου. Το αρχείο διαγράφηκε οριστικά από τον κατάλογό μου. Αναρωτιόμουν πώς να ανακτήσω τα διαγραμμένα αρχεία και δεν είχα ιδέα τι να κάνω. Σχεδόν ξόδεψα πολύ χρόνο για να επαναφέρω το αρχείο, αλλά όχι τύχη.

Γνωρίζοντας κάποιες τεχνικές γνώσεις ήξερα πώς λειτουργεί το σύστημα αρχείων και ο HDD. Όταν διαγράφετε ένα αρχείο κατά λάθος, το περιεχόμενο του αρχείου δεν διαγράφεται από τον υπολογιστή σας. Μόλις αφαιρέθηκε από το φάκελο της βάσης δεδομένων και δεν μπορείτε να δείτε το αρχείο στον κατάλογο, αλλά εξακολουθεί να παραμένει σε κάποιο σημείο του σκληρού σας δίσκου. Βασικά το σύστημα έχει έναν δείκτη λίστας για μπλοκ στη συσκευή αποθήκευσης που εξακολουθεί να έχει τα δεδομένα. Τα δεδομένα δεν διαγράφονται από τη συσκευή αποθήκευσης μπλοκ εκτός εάν και μέχρι να αντικαταστήσετε με ένα νέο αρχείο. Από αυτήν την άποψη, αποκάλυψα ότι το διαγραμμένο αρχείο μου μπορεί να παραμένει κάπου σε μια περιοχή χωρίς ευρετήριο του Σκληρού δίσκου. Ωστόσο, συνιστάται να αποσυνδέσετε αμέσως μια συσκευή μόλις συνειδητοποιήσετε ότι έχετε διαγράψει οποιοδήποτε σημαντικό αρχείο. Η αποπροσάρτηση σάς βοηθά να αποτρέψετε την αντικατάσταση των αποκλεισμένων αρχείων με νέο αρχείο.

Σε αυτό το σενάριο δεν ήθελα να ξαναγράψω αυτά τα δεδομένα, επομένως προτίμησα να ψάξω στον σκληρό δίσκο χωρίς να τον τοποθετήσω.

Κανονικά στα Windows έχουμε πολλά εργαλεία τρίτων για την ανάκτηση χαμένων δεδομένων, αλλά στο Linux μόνο λίγα. Ωστόσο, χρησιμοποιώ το Ubuntu ως λειτουργικό σύστημα και είναι πολύ δύσκολο να βρω ένα εργαλείο που να ανακτά το χαμένο αρχείο. Κατά τη διάρκεια της έρευνάς μου έμαθα για το «Νυστέρι», ένα εργαλείο που τρέχει σε ολόκληρο τον σκληρό δίσκο και ανακτά ένα χαμένο αρχείο. Εγκατέστησα και ανέκτησα με επιτυχία το χαμένο αρχείο μου με τη βοήθεια του εργαλείου Νυστέρι. Είναι πραγματικά εκπληκτικό εργαλείο πρέπει να πω.

Αυτό μπορεί να συμβεί και με εσάς. Σκέφτηκα λοιπόν να μοιραστώ μαζί σας την εμπειρία μου. Σε αυτό το άρθρο θα σας δείξω πώς να ανακτήσετε τα διαγραμμένα αρχεία με τη βοήθεια του εργαλείου νυστέρι. Ορίστε λοιπόν.

Τι είναι το Scalpel Tool;

Το Scalpel είναι μια ανάκτηση συστήματος αρχείων ανοιχτού κώδικα για λειτουργικά συστήματα Linux και Mac. Το εργαλείο επισκέπτεται τον χώρο αποθήκευσης της βάσης δεδομένων μπλοκ και αναγνωρίζει τα διαγραμμένα αρχεία από αυτό και τα ανακτά αμέσως. Εκτός από την ανάκτηση αρχείων, είναι επίσης χρήσιμο για ψηφιακή εγκληματολογική έρευνα.

Πώς να εγκαταστήσετε το Scalpel σε Debian/Ubuntu και Linux Mint

Για να εγκαταστήσετε το Scalpel, ανοίξτε το τερματικό κάνοντας «CTrl+Alt+T» από την επιφάνεια εργασίας και εκτελέστε την ακόλουθη εντολή.

sudo apt-get install scalpel

Δείγμα εξόδου

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Εγκατάσταση Scalpel σε RHEL/CentOS και Fedora

Για να εγκαταστήσετε το εργαλείο ανάκτησης νυστέρι, πρέπει πρώτα να ενεργοποιήσετε το αποθετήριο epel. Μόλις ενεργοποιηθεί, μπορείτε να κάνετε το ‘yum’ για να το εγκαταστήσετε όπως φαίνεται.

yum install scalpel

Δείγμα εξόδου

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Μόλις εγκατασταθεί το νυστέρι, πρέπει να κάνετε επεξεργασία κειμένου. Από προεπιλογή το βοηθητικό πρόγραμμα scalpel έχει το δικό του αρχείο διαμόρφωσης στον κατάλογο '/etc' και η πλήρης διαδρομή είναι "/etc/scalpel/scalpel.conf" ή "/etc /scalpel.conf“. Μπορείτε να παρατηρήσετε ότι όλα σχολιάζονται (#). Επομένως, πριν εκτελέσετε το νυστέρι, πρέπει να αποσχολιάσετε τη μορφή αρχείου που πρέπει να ανακτήσετε. Ωστόσο, η αποσύνδεση ολόκληρου του αρχείου είναι χρονοβόρα και θα δημιουργήσει τεράστια ψευδή αποτελέσματα.

Ας πούμε, για παράδειγμα, ότι θέλω να ανακτήσω μόνο τα αρχεία «.jpg», οπότε απλώς αφαιρέστε το σχολιασμό της ενότητας αρχείου «.jpg» για το αρχείο διαμόρφωσης νυστέρι.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Μεταβείτε στο τερματικό και πληκτρολογήστε την ακόλουθη σύνταξη. Το ‘/dev/sda1’ είναι μια τοποθεσία μιας συσκευής από όπου το αρχείο έχει ήδη διαγραφεί.

sudo scalpel /dev/sda1-o output

Ο διακόπτης ‘-o’ υποδεικνύει έναν κατάλογο εξόδου, όπου θέλετε να επαναφέρετε τα διαγραμμένα αρχεία σας. Βεβαιωθείτε ότι αυτός ο κατάλογος είναι κενός πριν εκτελέσετε οποιαδήποτε εντολή, διαφορετικά θα εμφανιστεί σφάλμα. Η έξοδος της παραπάνω εντολής είναι.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Όπως βλέπετε, το νυστέρι εκτελεί τώρα τη διαδικασία του και θα χρειαστεί χρόνος για την ανάκτηση του διαγραμμένου αρχείου σας ανάλογα με τον χώρο στο δίσκο που προσπαθείτε να σαρώσετε και την ταχύτητα του μηχανήματος.

Θα σας συνιστούσα να έχετε τη συνήθεια να χρησιμοποιείτε μόνο delete αντί για "Shift + Delete". Γιατί όπως αναφέρθηκε η πρόληψη είναι πάντα καλύτερη από τη θεραπεία.