1. Recuperacion de datos despues de formatear en Linux<br />DataRecovery<br />Los archivos borrados o perdidos a veces se pueden recuperar de unidades que han fallado o formato y particiones, CD-ROM y tarjetas de memoria utilizando el software libre / libre disponible en los repositorios de Ubuntu. Los datos se pueden recuperar, porque la información no es inmediatamente retirado de la disco. Siga estos pasos para recuperar los datos perdidos. Esta guía se aplica a Ubuntu 7.04, 7.10 y 8.04.<br />PRECAUCIÓN<br />Usted no debe escribir en el dispositivo que ha fallado, ya que puede empeorar un problema de hardware, y sobrescribir los datos existentes en el caso de los archivos perdidos.<br />Apague la máquina afectada tan pronto como sea posible, y reiniciar desde un LiveCD o LiveUSB . Asegúrese de que el quot;
en vivoquot;
CD no se monta automáticamente cualquier partición o espacio de intercambio.<br />Directrices<br />El siguiente software pasivamente a tratar de recuperar los datos de hardware que ha fallado o no. Si sus datos no es reemplazable, no intente escribir en el dispositivo que ha fallado si las siguientes aplicaciones no funcionan, pero en lugar de buscar ayuda profesional.<br />Si el dispositivo está dañado, es aconsejable que la imagen del dispositivo y el trabajo en el archivo de imagen para recuperación de datos. (Ver más abajo.) Si fallo en el hardware no es el problema, puede recuperar los datos directamente desde el dispositivo.<br />Para recuperar datos de un dispositivo defectuoso, tendrá otro dispositivo de almacenamiento igual o mayor a la que desea guardar sus datos. Si usted necesita para hacer una imagen del dispositivo que ha fallado, usted tendrá otra cantidad de espacio. Debe ejecutar estas herramientas desde otro sistema operativo que reside en otro disco o un CD quot;
en vivoquot;
.<br />Un CD de Ubuntu Desktop no tendrán ningún problema. Si usted no tiene mucha memoria RAM, o no tienen una conexión a Internet en el ordenador no, se puede utilizar Ubuntu-rescate-remix , un live cd conjunto de herramientas de recuperación de datos. Se incluye todo el software mencionado en esta página.<br />[Leer más necesario aquí: ¿Es esta página cubre dos escenarios distintos: uno para particiones perdidas, y otra para los archivos dañados o borrados? ¿O las técnicas descritas para los archivos dañados o borrados también se necesita si una partición se ha perdido sin querer? Si son escenarios distintos, sería bueno que decir que aquí.]<br />Partición perdida<br />Si has cometido un error, mientras que la partición y la partición ya no aparece en la tabla de particiones, siempre y cuando no se han escrito los datos en ese espacio, todos los datos todavía están allí.<br />GNU Parted<br />Ejecutar separó de la línea de comandos para recuperar la partición.<br />Al cambiar la tabla de particiones en el disco duro, debe asegurarse de que no hay ninguna partición en el disco está montado.Esto incluye el espacio de intercambio. La forma más sencilla de lograr esto es ejecutar el Live CD. Parted está instalado en el sistema de base de Ubuntu. Una vez en el escritorio, abre un terminal y run_:<br />sudo swapoff-a<br />La próxima ejecución se separaron y le pide que use el dispositivo en cuestión. Por ejemplo, si el / dev / sda es el disco unidad desde la que desea recuperar, ejecute:<br />sudo parted / dev / sda<br />A continuación, utilice la opción de rescate:<br />Fin de rescate<br />donde inicio es el área del disco donde usted cree que la partición se inició y fin es su final. Si separamos encuentra una partición potencial, se le preguntará si desea agregar a la tabla de particiones.<br />Testdisk<br />Por otra parte, la aplicación testdisk puede recuperar su partición. Utilice cualquier método para instalar el testdisk paquete.<br />Ejecutar testdisk y escanear su ordenador para los medios de comunicación y le ofrecen una forma de menús para recuperar la partición.<br />testdisk sudo<br />Gpart<br />Otro programa que puede explorar las unidades y volver a crear una tabla de particiones basadas en quot;
conjeturasquot;
es gpart .Utilice cualquier método para instalar el paquete gpart .<br />Para analizar el primer disco duro que utiliza por defecto la configuración de tipo<br />sudo gpart / dev / sda<br />o<br />sudo gpart / dev / hda<br />según la versión de Ubuntu.<br />Puede restaurar la quot;
adivinarquot;
la tabla de particiones, sólo después de comprobar que con mucho cuidado (Es altamente recomendable escribir en otro dispositivo en su lugar), con<br />sudo gpart-W / dev / sda / dev / sda<br />Imágenes de un dispositivo dañado sistema de archivos, o la unidad<br />Las opciones de software<br />Hay dos programas diferentes para hacer una imagen de un dispositivo dañado, en preparación para el rescate de los archivos.Ellos son confusamente el mismo nombre :<br />Ddrescue GNU (empaquetado como gddrescue , aunque una vez instalado el comando es quot;
ddrescuequot;
)<br />Este es el que usted desea. Esta documentación sólo se aplica actualmente a GNU ddrescue.<br />dd_rescue (empaquetado como ddrescue )<br />Este es un script de shell mayor, más lento que necesita ser ejecutado en combinación con otro script para hacer lo mismo que la versión de GNU.<br />De / usr / share / doc / gnuddrescue / README<br />Ddrescue GNU es una herramienta de recuperación de datos. Se copian los datos de un fichero o dispositivo de bloques (disco duro, CD-ROM, etc) a otro, tratando de rescatar los datos en caso de errores de lectura.<br />Ddrescue no trunca el archivo de salida si no se le pidió. Por lo tanto, cada vez que se ejecuta en el mismo fichero de salida, utilizando un archivo de registro, se trata de llenar los vacíos.<br />La operación básica de ddrescue es totalmente automático. Es decir, usted no tiene que esperar a que un error, detenga el programa, leer el registro, ejecute en modo inverso, etc<br />Si utiliza la función de archivo de registro de ddrescue, los datos son rescatados de manera muy eficiente (sólo los bloques necesarios se leen). También se puede interrumpir el rescate en cualquier momento y reanudarla más tarde en el mismo punto.<br />Combinación automática de copias de seguridad: Si usted tiene dos o más copias de un archivo dañado, cdrom, etc, y ejecutar ddrescue en todos ellos, uno a la vez, con el mismo archivo de salida, es probable que obtener una completa y sin errores archivo. Esto es así porque la probabilidad de que existan áreas dañadas en los mismos lugares en diferentes archivos de entrada es muy bajo. Utilizando el archivo de registro, sólo los bloques necesarios se leen en la segunda copia y sucesivas.<br />Si el sistema de ficheros que son imágenes es superior a 4 gigas de tamaño, usted no será capaz de utilizar un MS-DOS (VFAT) sistema de archivos (por lo general se encuentran en las unidades USB) para guardar la imagen, ya que hay un límite de 4G para el tamaño máximo de un archivo en el sistema de archivos como. EXT3 uso u otro sistema de archivos que puede manejar esos tamaños de archivo.<br />Utilice cualquier método para instalar el siguiente paquete:<br />gddrescue<br />Ejecutar gnuddrescue así:<br />ddrescue [opciones] infile outfile [archivo de registro]<br />Por lo tanto, si / dev / sda es ilegible, tendrá que adquirir otro disco (u otros medios) en la que guardar la imagen de salida.Usted tendrá que tener más espacio en los nuevos medios que en el disco que ha fallado.<br />sudo ddrescue-r 3 / dev / sda / media / usbdrive / imagen / media / usbdrive / logfile<br />Ejecutar las sucesivas pasadas de esta manera:<br />sudo ddrescue-r 3-C / dev / sda / media / usbdrive / imagen / media / usbdrive / logfile<br />y gnuddrescue utilizará el archivo de registro de sólo lectura los huecos con los errores. En ambos casos, la opción-r determina el número de gddrescue veces se trate de leer cuando encuentra un error (-1 = infinito).<br />De Wiki Forense :<br />En primer lugar, copiar los datos tanto como sea posible, sin volver a intentarlo o división de los sectores:<br />ddrescue - no-split / dev/hda1 archivo de registro archivo de imagen <br />Ahora vamos a celebrar un nuevo juicio errores anteriores tres veces, usando sin caché lee:<br />ddrescue - directa - max-retries = log 3 / dev/hda1 archivo de imagen <br />Si eso falla, puede intentar de nuevo, pero retrimmed, por lo que intenta leer los sectores completo:<br />ddrescue - en directo - Retrim - max-retries = log 3 / dev/hda1 archivo de imagen <br />Otros ejemplos:<br />Estos dos ejemplos han sido tomados directamente de las páginas info ddrescue.<br />Ejemplo 1: Rescate de una partición ext2 en / dev/hda2 a / dev/hda2<br />ddrescue-R3 / dev/hda2 / dev/hda2 archivo de registro e2fsck-v-f / dev/hdb2 mount-t ext2-o ro / dev/hda2 / mnt<br />Ejemplo 2: Rescata a un CD-ROM en / dev / cdrom<br />ddrescue-b 2048 / dev / cdrom cdimage archivo de registro <br />cdimage escribir en un disco CD-ROM<br />Se quedó sin espacio, mientras que la unidad de imagen?<br />Usando GNU ddrescue con un archivo de registro, puede seguir a otra unidad de imagen y duración de las imágenes. En este ejemplo, se han fotografiado algunos de la unidad a un archivo en un disco, y el resto de la unidad a un archivo en otra unidad.Esta es la forma de poner las piezas juntas:<br />losetup sudo / dev/loop1 / media/Drive1/image sudo losetup / dev/loop2 / sudo mdadm media/Drive2/image-B / dev/md0-l-n lineal de 2 / dev/loop1 / dev/loop2<br />Su relleno de imagen completa se encuentra en / dev/md0.<br />Y luego tomar la matriz abajo:<br />sudo mdadm-S / dev/md0 sudo losetup-d / dev/loop1 sudo losetup-d / dev/loop2<br />Extracto de sistema de archivos de imagen recuperada<br />Ahora que la unidad ha sido fotografiada, puede recuperar el sistema de archivos de la imagen. Si el sistema de archivos no es recuperable, se puede tratar de recuperar archivos individuales.<br />Particiones de montaje en la imagen<br />Si usted tomó imágenes de la unidad completa, puede montar las particiones individuales de la imagen mediante el uso de la quot;
compensaciónquot;
cuando el montaje de un sistema de archivos de bucle. mmls de The Sleuth Kit puede mostrar las particiones encontradas dentro de una imagen:<br />$ Mmls archivo-b partición DOS Sector tabla de desplazamiento: 0 unidades están en la ranura sectores de 512 bytes de inicio Descripción Tamaño final Longitud 00: 0000000000 0000000000 0000000001 ----- 0512B tabla principal (# 0) 01: ----- 0000000001 0000000031 0000000031 0015K no asignado 02: 0000000032 0001646591 0001646560 00:01 0803M DOS FAT16 (0x06) 03: 0001646592 0002013183 0000366592 00:00 0179M DOS FAT16 (0x06)<br />Esto demuestra varias particiones. En este ejemplo, queremos montar la partición DOS de partida en el bloque 32. Para calcular el número de bytes, se multiplica por 512:<br />$ Bc bc 1.06 Derechos de Autor 1991-1994, 1997, 1998, 2000 Free Software Foundation, Inc. Este software es libre no ofrece ABSOLUTAMENTE NINGUNA GARANTÍA. Para más detalles escriba 'garantía'. 32 512 16 384 renunciar<br />Montar la partición:<br />sudo mount-o loop, offset = 16384 archivo mnt<br />(32 multiplicado por bloques de 512 bytes = 16384)<br />Para el montaje de una típica partición NTFS creada por el uso de Windows:<br />sudo mount-t ntfs-o, la fuerza, loop, offset = 32256 mnt archivo<br />(63 multiplicado por bloques de 512 bytes = 32256)<br />Extraer archivos individuales de la imagen recuperada<br />Principal<br />Todo es una herramienta de línea de comandos que puede recuperar archivos de una serie de sistemas de archivos, incluyendo la grasa ext3 y NTFS. Puede ser instalado y ejecutado desde el Live CD.<br />Arrancar desde el Live CD y luego habilitar el repositorio Universe e instalar todo:<br />Utilice cualquier método para instalar el siguiente paquete:<br />principal<br />Todo se puede recuperar archivos de una imagen de la unidad, o de la unidad directamente. Si la unidad ha sufrido problemas de hardware, el uso gnuddrescue a la imagen de la primera unidad.<br />Suponiendo que los archivos se pierden en hda, es necesario crear un directorio de escritura en otra unidad donde usted puede poner los archivos recuperados (digamos que usted tiene una gran unidad USB externa (sdb)<br />sudo mount / dev/sdb1 mkdir / recuperación sudo / recuperación / todo<br />Y a continuación, ejecute todo:<br />sudo todo-i / dev / hda-o / recuperación / todo<br />Para ejecutar todo en una imagen, simplemente sustituya el nombre de archivo para el dispositivo<br />sudo-i sobre todo la imagen-o / recuperación / todo<br />Los archivos recuperados será propiedad de root. Cambiar el propietario para que pueda usarlos:<br />sudo chown-R youruser: youruser / recuperación / todo<br />Use la opción-w para obtener sólo una auditoría de los archivos recuperables:<br />sudo todo-w-i / dev / hda o-/ recuperación / todo<br />Para recuperar sólo determinados tipos de archivos, utilice el modificador-t:<br />sudo todo-t jpg-i / dev / hda-o / recuperación / todo<br />Los tipos disponibles son:<br />Tipo de archivoComentariojpgSoporte para los formatos JFIF y Exif incluidas las implementaciones utilizadas en cámaras digitales modernas.gifpngbmpEl soporte para Windows en formato bmp.aviexeEl soporte para Windows PE binarios, extraerá los archivos DLL y EXE junto con sus tiempos de compilación.mpgSoporte para la mayoría de los archivos MPEG (debe comenzar con 0x000001BA)wavriffEsto extraerá AVI y RIFF ya que utilizan el mismo formato de archivo (RIFF). nota más rápido que corriendo cada uno por separado.wmvNota También puede extraer, wma, ya que tienen un formato similar.movpdfviejoEsto tomar cualquier archivo con la estructura de archivos OLE. Esto incluye PowerPoint , Word, Excel, Access, yStarWriterdoctorTenga en cuenta que es más eficiente para ejecutar OLE a medida que más por su dinero. Si usted desea hacer caso omiso de todos los archivos OLE a continuación, utilizar este.cremalleraTener en cuenta es que va a extraer los archivos. Jar y debido a que utilizan un formato similar. Abrir documentos de Office son zip'd archivos XML para que se extraen también. Estos incluyen SXW, SXC, SXI, y SX? para no determinado OpenOffice archivos.rarhtmcppFuente de detección de código C, tenga en cuenta esto es primitivo y puede generar otros documentos que el código C.todosEjecutar todos los métodos de extracción predefinidos. [Por defecto, si no se especifica-t]<br />Bisturí<br />Bisturí es un rápido archivo tallador que lee una base de datos de cabecera y pie de página de las definiciones y los extractos de los archivos de juego de un conjunto de archivos de imagen o de un dispositivo bruto. Es similar a todo y puede haber algunas mejoras.<br />Por defecto, todos los tipos de archivos en la base de datos (/ etc / bisturí / scalpel.conf) están comentadas. Para especificar qué tipos de archivos que desea tallar, tiene que editar el archivo y quite cada línea.<br />sudo bisturí ARCHIVO-o Directorio<br />Donde file es el archivo de imagen (o dispositivo) y el Directorio es el directorio de salida.<br />Rescate Magic<br />Otro programa que escanea los archivos utilizando quot;
bytes mágicosquot;
para identificar su presencia y tipo, y que puede extenderse por muchos tipos de archivos utilizando quot;
recetasquot;
, se puede obtener mediante la instalación, utilizando cualquier método , el paquete magicrescue .<br />Tenga en cuenta que la mayoría de las recetas de siempre necesita otro software instalado para trabajar, así que abrir las recetas que desee en / usr / share / magicrescue / recetas / usando un editor de texto y leer los comentarios contenidos.<br />Si desea recuperar (por ejemplo), gzip y archivos PNG imágenes de una partición llamada / dev/sda1, puede ejecutar<br />sudo mkdir ~ / salida magicrescue gzip-r-r png-d ~ / salida / dev/hdb1<br />Esto va a escribir todos los archivos recuperados en un directorio de salida dentro de su directorio home.<br />Photorec<br />PhotoRec es software de recuperación de datos de archivos diseñado para recuperar imágenes perdidas de memoria de la cámara digital o incluso discos duros. Se ha extendido a buscar también audio no / cabeceras de vídeo. Busca 80 tipos diferentes de archivos. PhotoRec es parte del paquete TestDisk. Utilice cualquier método para instalar el siguiente paquete:<br />testdisk<br />Para ejecutar Photorec en un archivo de imagen, hacer:<br />sudo imagefilename photorec<br />Para recuperar los archivos directamente desde un dispositivo, ejecute PhotoRec sin argumentos y se le dará una serie de dispositivos disponibles.<br />sudo photorec<br />Vea este enlace para ver una descripción detallada de cómo utilizar Photorec.<br />recoverjpeg<br />Este programa está dedicado a la identificación y recuperación de imágenes JPEG. Usted puede instalar el paquete recoverjpegutilizando cualquier método , y luego ejecutar (suponiendo que / dev/sda1 es la partición que desea recuperar de)<br />recoverjpeg sudo / dev/sda1<br />Los archivos recuperados se guardan en el directorio principal, con los nombres siguiendo el patrón de imagen *. jpg .<br />Ntfsprogs<br />Ntfsundelete puede recuperar archivos borrados de un sistema de archivos NTFS. El Windows y LiveCD versiones tienen una interfaz gráfica de usuario intuitiva muy bonito, pero el linux es probablemente más fuerte y no tiene una interfaz gráfica de usuario front-end en el momento.<br />En pocas palabras, tiene 3 modos de<br />quot;
Scanquot;
, la búsqueda de archivos borrados y encontrar información sobre ellos<br />quot;
Restaurarquot;
, véase la nota siguiente ...<br />quot;
Copiarquot;
, err no estoy seguro de lo que esto hace que yo no soy un mago<br />La mejor guía sencillo que he encontrado hasta la fecha 24-11-2010) se<br />http://www.sucka.net/2010/04/recover-deleted-files-with-ntfsundelete-from-a-ubuntu-livecd/<br />Obviamente con un nombre como que yo era cuidadoso en el que abrió la página, pero que estaba bien.<br />Cuando Restauración de elegir los archivos que recuperar y que al recuperar a ellos también. Por defecto, ésta parece ser el escritorio del sistema operativo que se arranca en, ya que es un LiveCD o en una unidad o partición diferente. Para un LiveCD oLiveUsb que tendrá que pasar a USB-stick o una partición segura antes de reiniciar, el escritorio se olvida de LiveCDs a menos que utilice una quot;
imagen persistentequot;
.<br />Para realizar una búsqueda<br />ntfsundelete / dev/sda2<br />Para recuperar<br />ntfsundelete / dev/sda2-u-i-o work.doc 3689-d ~ / salida<br />Esto va a escribir todos los archivos recuperados en un directorio de salida dentro de su directorio home.<br />Para una mejor información sobre el uso ntfsundelete consulte la página aparte ntfsundelete , en particular los enlaces externos no.<br />Sleuth Kit y la autopsia<br />(Se obtiene la siguiente http://www.sleuthkit.org/autopsy/desc.php )<br />La autopsia forense Browser es una interfaz gráfica para la línea de comandos de las herramientas de análisis digital de la investigación en el kit Sleuth. Juntos, pueden analizar los discos de Windows y UNIX y sistemas de archivos (NTFS, FAT, UFS1 / 2, Ext2 / 3).<br />El Sleuth Kit y autopsias son de código abierto y se ejecutan en plataformas UNIX. Como la autopsia se basa en HTML, se puede conectar con el servidor de la autopsia de cualquier plataforma con un navegador HTML. Autopsia proporciona un quot;
Administrador de archivosquot;
-como el interfaz y muestra detalles acerca de los datos eliminados y estructuras del sistema de archivos.<br />Autopsia<br />La autopsia se puede ejecutar desde los quot;
vivosquot;
de CD, pero se debe especificar una dirección a la que puede conectarse de forma remota. También debe especificar un disco externo en el que se puede guardar la información obtenida.<br />Por ejemplo, suponiendo que tiene un disco externo montado en / media / disco con una carpeta de la autopsia en él y su dirección IP es 192.168.0.1 , puede ejecutar:<br />sudo autopsia-d / media / disk / autopsia 192.168.0.1<br />SleuthKit<br />Extracto de asignar (eliminado) cuadras de una imagen de disco o disco.<br />Ejemplo:<br />dls inputimage> outputimage<br />Utilizar los datos talla herramienta para buscar la imagen de salida para los archivos.<br />Lista de nombres de archivos y directorios en una imagen forense. fls lista de los archivos y directorios en la imagen y puede mostrar los nombres de los archivos borrados recientemente por el directorio con el inodo dado. Esto incluye los archivos borrados. Si tiene imágenes de su sistema de archivos en un archivo denominado quot;
loopfilequot;
, que puede mostrar el contenido mediante la ejecución de:<br />fls loopfile-r-f-i de grasa cruda r / r 3: Ensayo (Entrada Etiqueta de volumen) r / r * 5: sample.docx r / r * 7: sample.pptx r / r * 9: sample.xlsx<br />Copia de archivos de inodo. ICAT abre la imagen con el nombre (s) y copia el archivo con el número de inodo especificado en la salida estándar.<br />Ejemplo:<br />fls le ha mostrado el número de inodo de algunos archivos en una imagen. Para recuperar un archivo mediante el uso de ejecutar º número einode:<br />ICAT-r-f-i de grasa cruda loopfile 5> sample.docx<br />clasificador - Ordenar archivos en una imagen en categorías según el tipo de archivo. Clasificador es un script en Perl que analiza un sistema de archivos para organizar los archivos asignados y no asignados por tipo de archivo.<br />Ejemplo: Esto va a clasificar todos los archivos en / dev/sdc1 y poner los archivos de imágenes en un directorio llamado quot;
outquot;
:<br />clasificador-h-s-i sudo prima-f-d grasa a cabo-C / usr / share / SleuthKit / windows.sort / dev/sdc1<br />Aquí está una descripción de un script que tirar todos los archivos de una imagen con fls y ICAT:<br />http://forums.gentoo.org/viewtopic-t-365703.html<br />Otro guión, de forma similar que trata de quot;
reconstruirquot;
la estructura de directorios del sistema de archivos más el contenido del archivo:<br />http://matt.matzi.org.uk/2008/07/03/reconstructing-heavily-damaged-hard-drives/<br />La limpieza de<br />a partir de: Cómo recuperar archivos perdidos de forma accidental, después de limpiar su disco duro<br />Ordenar ciertos tipos de archivos:<br />sudo mkdir recuperación / VID recuperación / JPG a encontrar la recuperación /-name quot;
*. aviquot;
| xargs-i mv {} recuperación / VID / encontrar la recuperación /-name quot;
*. mpgquot;
| xargs-i mv {} recuperación / VID / encontrar la recuperación /-name quot;
*. jpgquot;
| xargs-i mv {} recuperación / JPG / <br />Evitar las fotografías pequeñas:<br />recuperación sudo mkdir / SMALL encontrar la recuperación / JPG /-name quot;
*. jpgquot;
-tamaño-1024k | xargs-i mv {} recuperación / SMALL / <br />Cambiar el nombre de archivos JPEG de acuerdo a los datos EXIF:<br />encontrar JPG /-name quot;
*. jpgquot;
| xargs-i-nf jhead% Y% m% d-% H% M% S {}<br />A continuación, eliminar los duplicados.<br />find / var / recuperación / JPG /-name quot;
* a.jpgquot;
| xargs-i mv {} / var / recuperación JPG / / DUPS /<br />Copia de archivos con las cadenas coincidentes:<br />cd .. mkdir recuperación / copia / grep-l quot;
entrar en la cadena de texto aquíquot;
*. doc | xargs-i cp {} .. / copiar /<br />Prevención<br />La mejor manera de evitar la pérdida de datos es mediante la realización de copias de seguridad periódicas. Ver:BackupYourSystem<br />