Ten poradnik pokazuje jak odzyskać dane z urządzeń pamięci masowej w Linuksie. W tym przypadku dane będą odzyskiwane z pendrive’a SanDisk o pojemności 32 GB, jednak proces pokazany w tym poradniku jest taki sam jak dla zwykłego dysku twardego. W tym poradniku skupimy się na dwóch najpopularniejszych narzędziach do rzeźbienia w plikach, Foremost i PhotoRect, opisanych w artykule Narzędzia do rzeźbienia w plikach. Oba zostaną wyjaśnione od procesu instalacji na Debianie 10 Buster do odzyskiwania danych.
Odzyskiwanie danych z dysku twardego za pomocą Foremost:
Na początek zobaczmy podłączone urządzenia pamięci masowej za pomocą polecenia lsblk, w konsoli:
Lsblk pokaże wszystkie dostępne urządzenia pamięci masowej i partycje, w tym urządzenia swap i urządzenia optyczne, w tym przypadku chcę urządzenie sdb.
Uwaga: aby dowiedzieć się więcej o poleceniu lsblk przeczytaj Jak wyświetlić listę wszystkich urządzeń dyskowych w systemie Linux.
Jak widzisz pendrive 32 GB USB został nazwany sdb i to jest urządzenie na którym będę pracował.
Odzyskiwanie danych z dysku USB za pomocą programu Foremost:
Aby rozpocząć odzyskiwanie danych z dysku USB zacznij od zainstalowania programu Foremost za pomocą menadżera pakietów APT na Debianie lub innych dystrybucjach Linuksa, uruchamiając go:
Po zainstalowaniu można wyświetlić stronę man, aby sprawdzić wszystkie dostępne opcje:
Z strony mana rozumiemy, że flaga -i służy do określenia pliku wejściowego, od którego Foremost rozpocznie pracę. Zazwyczaj jest on przeznaczony do pracy z obrazami takimi jak te produkowane przez narzędzia takie jak dd czy Encase. Aby uruchomić Foremost w najprostszy sposób bez dodatkowych flag uruchom następujące polecenie zastępując /sdb dla ID urządzenia, z którego chcesz odzyskać dane.
Run:
Gdzie sdb umieścić prawidłowe urządzenie.
Uwaga: można również określić partycje, jak na przykład /dev/sdb1.
Po zakończeniu procesu uruchom ls, aby potwierdzić utworzenie nowego katalogu o nazwie output:
Jak widać katalog output istnieje, aby zobaczyć odzyskane pliki wejdź do niego używając polecenia cd (Change Directory), a następnie uruchom ls:
# ls
Wewnątrz zobaczysz katalogi dla wszystkich typów plików jakie udało się odzyskać Foremostowi, dodatkowo zobaczysz plik o nazwie audit.txt z raportem na temat wyrzeźbionych plików.
Możesz sprawdzić jakie pliki zostały znalezione wewnątrz każdego katalogu poprzez uruchomienie ls <directory>:
Możesz również przeglądać wszystkie odzyskane pliki za pomocą graficznego menedżera plików:
Odzyskiwanie danych z dysku twardego za pomocą PhotoRec:
PhotoRect jest wraz z Foremostem najpopularniejszym narzędziem do rzeźbienia plików lub odzyskiwania danych zarówno w profesjonalnym kryminalistyce, jak i w użytku domowym. Podczas gdy Foremost wykonuje inteligentniejsze odzyskiwanie danych, wykazując szybsze działanie, brutalna siła PhotoRec’a wykazuje lepsze wyniki podczas rzeźbienia plików. Ta sekcja pokazuje, jak przeprowadzić odzyskiwanie danych z dysku twardego za pomocą PhotoRec.
Aby rozpocząć na Debianie i innych dystrybucjach Linuksa, zainstaluj program photorec, uruchamiając go:
Strona man programu PhotoRec jest prawie pusta, Photorec jest dość prosty w użyciu i wystarczy go tylko uruchomić, pojawi się przyjazny dydaktycznie interfejs podobny do tego z CFDISK, który poprowadzi cię podczas całego procesu.
Po zainstalowaniu uruchom go, wywołując program:
Pamiętaj, aby uruchomić program PhotoRec z wystarczającymi uprawnieniami, aby uzyskać dostęp do urządzenia, które ma być poddane rzeźbieniu.
Na pierwszym ekranie należy wybrać dysk źródłowy lub obraz, z którego PhotoRec ma odzyskać dane. W tym przypadku wybieram urządzenie /dev/sdb, jak pokazano na poniższym obrazku:
W tym kroku należy wybrać partycję, z której chcemy odzyskać dane.
Jeśli partycje nie są znalezione i wymienione przed przystąpieniem do wyszukiwania za pomocą strzałek klawiatury przejść do Plik Opt, aby zbadać dostępne opcje, jak pokazano na poniższym obrazku:
Jak widać w Plik Opt można zwiększyć dokładność wynik chcesz przez określenie typu plików szukasz. Wybierz typ plików, które chcesz, a następnie naciśnij b, aby kontynuować, lub Quit, aby wrócić.
Powracając do poprzedniego ekranu wybierz Szukaj i naciśnij Enter, aby kontynuować, aby rozpocząć proces odzyskiwania danych.
Na tym etapie Foremost zapyta jaki typ systemu plików posiada lub posiadało urządzenie, w tym przypadku był to FAT lub NTFS, wybierz odpowiedni system plików, nawet jeśli jest on obecnie uszkodzony i naciśnij ENTER.
Na koniec PhotoRec zapyta gdzie chcesz zapisać pliki, ja akurat zostawiłem Pulpit ale możesz utworzyć dla nich dedykowany folder, po wybraniu miejsca docelowego naciśnij C aby kontynuować.
Proces się rozpocznie i może trwać kilka minut lub godzin w zależności od rozmiaru.
Pod koniec procesu PhotoRect poinformuje o utworzeniu katalogu z odzyskanymi plikami, w tym przypadku recup_dir* wewnątrz Pulpitu wybranego wcześniej jako miejsce docelowe.
Podobnie jak w przypadku Foremosta możesz wyświetlić listę wszystkich plików z poziomu konsoli:
Albo możesz przeglądać pliki za pomocą preferowanego graficznego menedżera plików:
Podsumowanie odzyskiwania danych z dysku twardego za pomocą PhotoRec i Foremost:
Oba narzędzia wiodą prym na rynku rzeźbienia plików, oba narzędzia pozwalają na odzyskanie każdego rodzaju plików, Foremost obsługuje rzeźbienie jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, i cpp i więcej. Oba narzędzia są kompatybilne z obrazami dysków jak dd lub dla Encase. Podczas gdy PhotoRec polega na brute force zapewniając głębsze rzeźbienie, Foremost skupia się na nagłówkach bloków i stopkach pracując szybciej. Oba narzędzia są zawarte w najbardziej popularnych pakietach kryminalistycznych i dystrybucjach OS takich jak Deft/Deft Zero live czy CAINE, które zostały opisane na stronie https://linuxhint.com/live_forensics_tools/.
Używanie PhotoRec lub Foremost daje możliwość zastosowania narzędzi kryminalistycznych wysokiego poziomu nawet do użytku domowego, wspomniane narzędzia nie mają skomplikowanych flag i opcji aby dodać je do uruchomienia.
Mam nadzieję, że znalazłeś ten poradnik jak odzyskać dane z dysku twardego. Podążaj za LinuxHint po więcej wskazówek i aktualizacji dotyczących Linuksa i sieci.
.