Natychmiast przerwij wszystkie operacje zapisu na nośniku, z którego utracono dane. Każdy nowy zapisany bajt danych zmniejsza szanse na sukces.
W przypadku operacji odzyskiwania preferowane jest użycie systemu live uruchomionego z dysku USB, aby uniknąć zapisywania przez główny system operacyjny pamięci podręcznej lub plików tymczasowych na dysku. Przygotuj zewnętrzne urządzenie pamięci masowej z wystarczającą ilością wolnego miejsca do zapisania odzyskanych plików.
TestDisk i PhotoRec: Kompleksowe rozwiązanie
Zainstaluj pakiety w systemach opartych na Debian/Ubuntu za pomocą polecenia:
sudo apt-get update && sudo apt-get install testdisk
PhotoRec działa niezależnie od systemu plików, analizując dysk na poziomie danych surowych w celu identyfikacji plików po sygnaturach nagłówków. Narzędzie obsługuje ponad 300 formatów plików.
Odzyskiwanie plików za pomocą PhotoRec
Uruchom narzędzie z uprawnieniami superużytkownika:
sudo photorec
Interfejs zapewnia przewodnik krok po kroku:
- Wybór docelowego urządzenia pamięci masowej (/dev/sda, /dev/sdb)
- Określenie schematu partycji (Intel, Sun, Mac)
- Wybór typu systemu plików do przeskanowania
- Zdefiniowanie katalogu do zapisania wyników
Proces może zająć dużo czasu, w zależności od pojemności i prędkości dysku.
Odzyskiwanie tablicy partycji za pomocą TestDisk
Aby naprawić tablicę partycji lub przywrócić sektory rozruchowe, użyj:
sudo testdisk
Przebieg pracy obejmuje:
- Analizę bieżącej struktury partycji
- Wyszukiwanie utraconych partycji
- Utworzenie nowej tablicy partycji
- Zapisanie zmian w MBR lub GPT
Wyspecjalizowane narzędzia dla ext2/ext3/ext4
Dla rodziny systemów plików ext używane jest narzędzie extundelete. Instalacja i użycie:sudo apt-get install extundelete sudo extundelete /dev/sdX --restore-all --output-dir /ścieżka/do/odzyskuKluczowe opcje:
- --restore-all: Próbuje przywrócić całą zawartość
- --restore-file: Przywraca konkretny plik według jego ścieżki
- --restore-inode: Przywraca plik według jego numeru inode
Foremost: Odzyskiwanie oparte na sygnaturach plików
To narzędzie wykonuje niskopoziomowe skanowanie z predefiniowanymi szablonami formatów plików. Domyślna konfiguracja znajduje się w /etc/foremost.conf.sudo foremost -t jpg,pdf,docx -i /dev/sdX -o /ścieżka/do/odzyskuParametr -t pozwala jawnie określić typy plików do wyszukania.
Dodatkowe techniki i narzędzia
Scalpel oferuje zaawansowany algorytm skanowania z elastyczną konfiguracją szablonów poprzez plik konfiguracyjny. Aby utworzyć obraz dysku do analizy, zaleca się użycie ddrescue:sudo ddrescue /dev/sdX /ścieżka/obraz.dd /ścieżka/pliku_dziennika.logPozwala to na przeprowadzenie wszystkich operacji odzyskiwania na obrazie, zapobiegając dalszemu uszkodzeniu oryginalnego nośnika.