Deze tutorial laat zien hoe je data kunt herstellen van opslagapparaten in Linux. In dit geval worden de gegevens hersteld van een SanDisk USB pendrive van 32 GB, maar het proces dat in deze tutorial wordt getoond is hetzelfde als voor een gewone harde schijf. Deze tutorial zal zich richten op twee van de meest populaire file carving tools, Foremost en PhotoRect, beide beschreven in het File Carving Tools artikel. Beide zullen worden uitgelegd vanaf het installatieproces op Debian 10 Buster tot het data herstel.
Data Herstel van Harde Schijf met Foremost:
Om te beginnen laten we de aangesloten opslagapparaten zien door het commando lsblk te gebruiken, op de console uit te voeren:
Lsblk toont alle beschikbare opslagapparaten en partities, inclusief swap en optische apparaten, in dit geval wil ik het sdb-apparaat.
Note: om meer te weten te komen over het lsblk commando, lees Hoe een lijst maken van alle Linux Disk Devices.
Zoals je kunt zien is de 32 GB USB pendrive sdb genoemd en dat is het apparaat waar ik op ga werken.
Gegevensherstel van USB-schijf met Foremost:
Om te beginnen met gegevensherstel van een USB-schijf installeert u Foremost met behulp van de APT package manager op Debian of gebaseerde Linux-distributies door te draaien:
Eenmaal geïnstalleerd kunt u de man page weergeven om alle beschikbare opties te controleren:
Van de man page begrijpen we dat de vlag -i bedoeld is om een invoerbestand te bepalen, van waaruit Foremost zal beginnen te werken. Het is meestal bedoeld om te werken met afbeeldingen zoals die worden geproduceerd door tools als dd of Encase. Om Foremost op de eenvoudigste manier te starten, zonder extra vlaggen, voert u het volgende commando uit, waarbij u /sdb vervangt voor het apparaat-ID waarvan u gegevens wilt herstellen.
Uitvoeren:
Waarbij sdb het juiste apparaat heeft gezet.
Eenmaal uitgevoerd ziet het carving proces er als volgt uit:
Note: u kunt ook partities opgeven, zoals bijvoorbeeld /dev/sdb1.
Als het proces is afgelopen, voert u ls uit om te bevestigen dat er een nieuwe map is gemaakt met de naam uitvoer:
Zoals u kunt zien bestaat de directory output al, om de herstelde bestanden te zien gaat u deze binnen met het commando cd (Change Directory) en voert u vervolgens ls uit:
# ls
Binnenin ziet u mappen voor alle bestandstypen die Foremost heeft weten te herstellen, daarnaast ziet u een bestand met de naam audit.txt met een rapport over gecarvede bestanden.
U kunt controleren welke bestanden in elke directory zijn gevonden door ls uit te voeren <directory>:
U kunt ook door alle herstelde bestanden bladeren via een grafisch bestandsbeheer:
Gegevensherstel van harde schijf met PhotoRec:
PhotoRect is samen met Foremost het populairste hulpprogramma voor het snijden van bestanden of gegevensherstel, zowel voor professioneel forensisch onderzoek als voor thuisgebruik. Terwijl Foremost slimmer herstelt en sneller werkt, laat PhotoRec’s brute kracht betere resultaten zien bij het snijden van bestanden. Dit gedeelte laat zien hoe je gegevensherstel van een harde schijf uitvoert met PhotoRec.
Om te beginnen op Debian en gebaseerde Linux distributies installeer je photorec door te draaien:
PhotoRec man page is bijna leeg, Photorec is vrij eenvoudig in gebruik en hoeft alleen maar uitgevoerd te worden, een didactisch vriendelijke interface vergelijkbaar met die van CFDISK zal verschijnen om je te begeleiden tijdens het hele proces.
Eenmaal geinstalleerd start het door het programma aan te roepen:
Let op dat u PhotoRec moet starten met voldoende rechten om toegang te krijgen tot het apparaat dat gecarved moet worden.
In het eerste scherm moet u de bronschijf of image selecteren waarvan PhotoRec de gegevens moet herstellen. In dit geval selecteer ik het apparaat /dev/sdb, zoals te zien is in de afbeelding hieronder:
In deze stap moet u de partitie selecteren waarvan u de gegevens wilt herstellen.
Als de partities niet worden gevonden en in de lijst staan, ga dan naar Bestand Opt om de beschikbare opties te verkennen, zoals te zien is in de afbeelding hieronder:
Zoals u kunt zien in Bestand Opt kunt u de nauwkeurigheid van de resultaten vergroten door het specificeren van het type bestanden dat u zoekt. Selecteer het gewenste bestandstype en druk op b om verder te gaan, of op Enter om terug te gaan.
Eenmaal terug in het vorige scherm selecteert u Search (Zoeken) en drukt u op Enter om verder te gaan en het gegevensherstelproces te starten.
In dit stadium vraagt Foremost welk type bestandssysteem het apparaat heeft of had, in dit geval was dat FAT of NTFS, selecteer het juiste bestandssysteem, zelfs als het momenteel defect is, en druk op ENTER.
Eindelijk zal PhotoRec vragen waar je de bestanden wilt opslaan, ik heb gewoon het Bureaublad gelaten maar je kunt er ook een speciale map voor maken, druk na het kiezen van de bestemming op C om verder te gaan.
Het proces zal starten en kan enkele minuten of uren duren, afhankelijk van de grootte.
Aan het einde van het proces meldt PhotoRect dat er een map is gemaakt met de herstelde bestanden, in dit geval recup_dir* binnen het Bureaublad dat eerder als bestemming was geselecteerd.
Net als bij Foremost kunt u een lijst van alle bestanden maken via de console:
Of u kunt door de bestanden bladeren met behulp van het grafische bestandsbeheer van uw voorkeur:
Conclusie over gegevensherstel van de harde schijf met PhotoRec en Foremost:
Beide hulpprogramma’s leiden de markt voor het snijden van bestanden, beide hulpprogramma’s maken het mogelijk om elk type bestanden te herstellen, Foremost ondersteunt het snijden van jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, en cpp en meer. Beide tools zijn compatibel met disk images zoals dd of voor Encase. Terwijl PhotoRec zich baseert op brute kracht om dieper te snijden, richt Foremost zich op blok headers en footers om sneller te werken. Beide tools zijn opgenomen in de meest populaire forensische suites en OS distributies zoals Deft/Deft Zero live of CAINE die werden beschreven op https://linuxhint.com/live_forensics_tools/.
Het gebruik van PhotoRec of Foremost brengt de mogelijkheid om hoog niveau forensische tools toe te passen, zelfs voor huishoudelijk gebruik, de genoemde tools hebben geen complexe vlaggen en opties om de lancering ervan toe te voegen.
Ik hoop dat je deze tutorial over How to Data Recovery from Hard Drive nuttig vond. Blijf LinuxHint volgen voor meer tips en updates over Linux en netwerken.