Вопрос или проблема
Это происходит из долгой истории восстановления тома TrueCrypt после аппаратного сбоя (спасибо, WD). В итоге у меня получилось расшифрованное изображение объемом 3 ТБ, на котором были файлы, которые я хочу восстановить.
К сожалению, после использования testdisk и extundelete, я предположил, что запись каталога, ведущая к дескрипторам (дополнительных каталогов), которые я хочу восстановить, была перезаписана.
Тем не менее, я думаю, что их подкаталоги могут содержать записи, которые все еще не повреждены. Я хотел бы узнать, как можно искать по всему образу диска записи каталогов в нераспределенных блоках, чтобы восстановить их файлы (с их правильными именами, что было бы гораздо лучше, чем использование foremost, photorec и подобных инструментов).
Я знаю, что extundelete с параметром по умолчанию --recover-all не ищет дальше, чем дерево, которое появляется из корневого каталога. Хорошо, что если одна из ветвей сломана, но я знаю, что записи подкаталогов где-то есть?
На всякий случай, если я не выразился достаточно ясно, представьте, что потеряна запись [root]/information. Корневой каталог имеет запись ‘information’, но она указывает на перезаписанные данные. Его запись каталога исчезла, но я хочу просканировать на наличие подкаталогов, [root]/information/personal, и [root]/information/business и так далее. (название этих подкаталогов было в записи ‘information’ – меня не волнует это название, но важна их вся структура)
или метод сделать это вручную/программно, меня не пугает грязная работа
Вы можете сделать это с помощью bash (dd,xxd и т.д.) или любого языка программирования, если готовы учиться.
Но если fsck не выявил это, данных, вероятно, нет.
(супер блоки более ограничены по пространству, чем данные, и дерево часто перераспределяется), поэтому скорее всего это photorec или ничего, но вы можете поискать с помощью
strings back.img | grep thing
(то есть, если бы это было возможно, у нас был бы инструмент к настоящему времени)
Ответ или решение
Находясь в ситуации восстановления данных с файловой системы ext4, особенно после аппаратного сбоя, как описано в вашей проблеме с TrueCrypt, поиск "осиротевших" записей каталога может стать непростой задачей. Позвольте предложить вам детальную стратегию для решения этой проблемы и восстановления данных в максимально доступной мере.
Шаги по Поиску Осиротевших Записей Каталогов на Диске ext4
1. Подготовка
Перед началом убедитесь, что у вас есть доступ к образу диска. Используйте команду losetup для связывания образа с loop-девайсом:
sudo losetup /dev/loop0 /путь/к/обра́зу.imgПосле этого необходимо смонтировать файловую систему. Если повреждения могут усугубиться, монтируйте в режиме только для чтения:
sudo mount -o ro /dev/loop0 /mnt2. Использование низкоуровневых инструментов
Далее можно воспользоваться инструментами, чтобы получить список всех возможных "осиротевших" файлов.
2.1. Поиск Суперблоков
Всегда существует риск потери основных суперблоков, но ext4 хранит их резервные копии. Используйте e2fsck для сканирования дисковой структуры на предмет целостности:
sudo e2fsck -f /dev/loop02.2. Сканирование для Неявных Записей
Используя debugfs, можно изучить директорию:
sudo debugfs -w /dev/loop0После подключения выполните поиск "осиротевших" файлов и каталогов:
findext2 /dev/loop0 -type d2.3. Скрипты на bash
Создайте скрипт, используя grep и awk для более углубленного поиска по бинарным копиям:
dd if=/dev/loop0 bs=4096 | grep -E '[шаблон_имени|ID_нужного_директория]' \
| awk '{print $NF}'3. Анализ и Восстановление
Извлеките информацию и попытайтесь воссоздать структуру каталогов. С помощью extundelete или аналогичных утилит попытайтесь восстановить оставшиеся файлы:
extundelete --restore-directory /путь/к/директории /dev/loop0Если вышеуказанные шаги не увенчаются успехом, можно рассмотреть использование средств, такие как photorec, которые, несмотря на свою простоту, часто извлекают данные при недоступности других методов.
Заключение
Восстановление данных — это комплексный процесс, который часто требует применения множества методов и инструментов. Ваш успех может быть частично ограничен тем, насколько поврежден исходный диск. К сожалению, если суперблоки и информационные структуры серьезно повреждены, возможно, спасение через photorec или иные подобные утилиты — ваш единственный вариант. Надеюсь, приведенные шаги помогут в вашем стремлении восстановить утраченные данные.
SEO-оптимизация
Данная статья предоставляет решения для поиска и восстановления "осиротевших" записей каталога на ext4, связанных с восстановлением данных после аппаратных сбоев. Следование этим шагам поможет увеличить ваши шансы на успешное восстановление.
Не забывайте, что эксперименты на реальной системе могут привести к непредсказуемым последствиям, советуем всегда работать с копиями данных.