poistettujen tiedostojen palauttaminen Linuxissa

erityiskiitos: tämän artikkelin mahdollisti Linux Professional Instituten tuki

on yleisesti tiedossa, että kun poistat tiedoston *nix—tiedostojärjestelmästä, se on mennyttä ikuisesti, etkä saa sitä takaisin. Se ei ole enää aivan totta, enkä ole 100-prosenttisen vakuuttunut siitä, että se olisi koskaan ollut totta, mutta se on täysin erillinen keskustelu. On olemassa joitakin tehokkaita menetelmiä talteen tiedostoja kaikissa tiedostojärjestelmissä, mukaan lukien * nix niistä. Tämä artikkeli kattaa yhden menetelmän, jossa käytetään rikosteknisen työkalun, ennen kaikkea. Aivan oikein, meidän täytyy kääntyä yksi ” pro ” menetelmiä tiedostojen palauttamiseksi. Ennen kaikkea voi palauttaa tiettyjä tiedostoja perustuu niiden otsikot, alatunnisteet, ja tietorakenteita. Ennen kaikkea on rikostekninen työkalu, jota lainvalvojat käyttävät poistettujen tiedostojen palauttamiseen, mutta se on vapaasti kenen tahansa käytettävissä.

Foremost palauttaa jonkin verran rajatun tiedostolistan, joka sisältää joitakin asiakirjatyyppejä, zipped-tiedostoja, äänitiedostoja, grafiikkakuvia, C-lähdekoodia, OLE-tiedostoja ja joitakin elokuvaformaatteja. Tämäntyyppiset tiedostot ovat niitä, jotka ovat eniten kohteena lainvalvonnan ja liittyy laitonta toimintaa.

asennus

Red Hat, CentOS ja Fedora-käyttäjien on ensin lisättävä RepoForge-arkisto ja asennettava se sitten seuraavasti:

$ sudo rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/ rpmforge-release-0.5.3-1.el7.rf.x86_64.rpm$ sudo yum –y install foremost

Tämä asentaa myös tarvittavat riippuvuudet Foremostille.

Debian-pohjaisissa järjestelmissä asennus on helppoa:

$ sudo apt install foremost

Huom: minun Ubuntu 18.04-järjestelmässäni,

apt install foremost

ei toiminut, joten jouduin kiertämään ongelman tekemällä seuraavaa:

$ wget http://launchpadlibrarian.net/205815060/ foremost_1.5.7-6_amd64.deb$ sudo dpkg –i foremost_1.5.7-6_amd64.deb

käyttö

osoittaakseni, miten etummainen toimii, olen poistanut (poistanut) yhden tiedostoistani (MAZ1.jpg) kotihakemistostani:

$ rm MAZ1.jpg

ennen ajoa pitäisi olla erillinen osio tai ulkoinen levy, jota voi käyttää tiedostojen palauttamiseen. Jos et, niin on mahdollista, että talteen tiedostot korvataan, ja et voi palauttaa mitään. Tämä on myös miksi sinun pitäisi yrittää elpymistä heti kun huomaat (tai tiedoston omistaja tajuaa), että tiedosto on virheellisesti poistettu. Erittäin kiireinen tiedostojärjestelmä, joka on myös vähän käytettävissä levytilaa saattaa tuottaa mitään tuloksia, vaikka se kannattaa kokeilla.

seuraavassa komennossa suoritan ensisijaisesti poistetun tiedoston sisältävän osion, joka on/dev / sda2. Nimeän / palautan lähtösijainniksi. Oma / palauta hakemisto on itse asiassa ylimääräinen levy (1GB) että olen setup erityisesti tiedostojen palauttamista.

$ sudo foremost –t jpg /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

voit nyt selata / palauta-hakemistoa, joka sisältää kaksi tiedostoa: audit.txt ja jpg-Hakemisto. JPG-hakemistosta löydät listan kaikista JPG-tyyppisistä tiedostoista, jotka on otettu talteen /dev/sda2: sta. Minun tapauksessani niitä on 244, mikä on valitettavaa, koska tavallisesti minun pitäisi katsoa jokaista tiedostoa erikseen löytääkseni sen, josta olen kiinnostunut toipumaan. Tällä kertaa tiedän tiedoston likimääräisen koon, joka on 2.4 MB. Sinun täytyy luetella nämä tiedostot sudo: lla, koska jpg-hakemisto on suoritettavissa vain pääkäyttäjän mukaan, mikä tarkoittaa, että tavalliset käyttäjät eivät voi cd-levyä siihen (listaus 1).

Listing 1

Listing Files with sudo

$ sudo ls –lS /recover/jpgls -lStotal 44096-rw-r--r-- 1 root root 9659197 Sep 3 17:24 15564800.jpg-rw-r--r-- 1 root root 3613391 Sep 3 17:24 15613952.jpg-rw-r--r-- 1 root root 3563772 Sep 3 17:24 15593472.jpg-rw-r--r-- 1 root root 3085681 Sep 3 17:24 15556608.jpg-rw-r--r-- 1 root root 2975375 Sep 3 17:24 15585280.jpg-rw-r--r-- 1 root root 2880578 Sep 3 17:24 15540224.jpg-rw-r--r-- 1 root root 2794666 Sep 3 17:24 15622144.jpg-rw-r--r-- 1 root root 2463714 Sep 3 17:24 19415032.jpg-rw-r--r-- 1 root root 2313724 Sep 3 17:24 15601664.jpg-rw-r--r-- 1 root root 1977539 Sep 3 17:24 15609856.jpg

the file, 19415032.jpg, on yksi kiinnostaa ja on peritty takaisin. Voin kopioida tämän tiedoston takaisin alkuperäiseen sijaintiinsa ja muuttaa sen käyttöoikeuksia niin, että alkuperäinen tiedoston omistaja on pääsy siihen.

i poisti tämän jälkeen asiakirjatiedoston, ATP: n.doc, ja elvytysyritys:

$ rm ATP.doc$ sudo foremost –t doc /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

tällä kertaa ei kuitenkaan ollut doc-hakemistoa kohdassa / recover. Tarkastustiedoston ulostulo näkyy listauksessa 2.

listaus 2

Audit File Output

$ sudo cat /recover/audit.txtForemost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick MikusAudit FileForemost started at Tue Sep 3 19:27:07 2019Invocation: foremost -t doc /dev/sda2 -o /recoverOutput directory: /recoverConfiguration file: /etc/foremost.conf------------------------------------------------------------------File: /dev/sda2Start: Tue Sep 3 19:27:07 2019Length: 9 GB (10734272512 bytes)Num Name (bs=512) Size File Offset CommentFinish: Tue Sep 3 19:27:52 20190 FILES EXTRACTED ------------------------------------------------------------------Foremost finished at Tue Sep 3 19:27:52 2019

niin näkee, että Foremost ei aina onnistu tiedostojen palautuksessa tiettyjen tiedostotyyppien avulla. Mutta, tietyt tiedostotyypit ovat paremmin talteen OLE-muodossa, kuten Microsoft Office-tiedostot:

$ sudo foremost –t ole /dev/sda2 –o /recoverProcessing: /dev/sda2|**************************************************************************|

tällä kertaa elpyminen onnistui. Tietäen likimääräinen tiedostokoko on suuri apu määritettäessä tiedoston edun, joka onnistuneesti talteen. Oma tiedosto oli noin 6MB kooltaan; 39 purettu tiedostoja, vain yksi sopii tähän profiiliin: 19611640.ole. Nimesin tiedoston ATP: ksi.doc ja avasi sen nähdä, että tiedosto oli todellakin peritty takaisin.

lisätietoja

Tarkista SourceForgen ja Foremost man-sivulta lisätietoja käytöstä ja esimerkeistä. Esimerkit ovat yleisiä, mutta erittäin hyödyllisiä. On olemassa muutamia ylimääräisiä kytkimiä (vaihtoehtoja), joita voit käyttää, kuten-V verbose-tilassa, joka on suositeltavaa. Voit myös suorittaa auditoinnin purkamatta tiedostoja-w-kytkimellä.

huomaa myös, että voit muokata/etc / etummaista.conf tiedosto sisällyttää muita tiedostotyyppejä hyödynnettäväksi. Monet niistä, jotka sisältyvät asetustiedosto ovat oletuksena kerrytettävissä tiedostoja. Käyttämällä nykyisiä tietueita malleina voit lisätä uusia tietueita asetustiedostoon.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *