Как восстановить удаленные файлы?

Существуют ли инструменты, методы, заклинания для восстановления недавно удаленных файлов в Ubuntu?

Если это имеет значение, я хочу восстановить файл базы данных Keepass 2.x. Но лучше было бы иметь метод/инструмент, который работает с любым типом файлов.

TestDisk / PhotoRec

TestDisk иногда может восстанавливать недавно удаленные файлы с помощью PhotoRec, который является частью TestDisk. Доступен в официальных репозиториях и более новая версия на их сайте.

TestDisk — это мощное бесплатное программное обеспечение для восстановления данных! Оно было изначально разработано, чтобы помочь восстановить потерянные разделы и/или сделать не загружаемые диски снова загружаемыми, если эти симптомы вызваны неисправными программами: некоторыми типами вирусов или человеческими ошибками (например, случайным удалением таблицы разделов). Восстановление таблицы разделов с помощью TestDisk очень просто.

PhotoRec является частью TestDisk и представляет собой программное обеспечение для восстановления данных файлов, предназначенное для восстановления потерянных файлов, включая видео, документы и архивы, с жестких дисков, CD-ROM и утраченные изображения (отсюда и название Photo Recovery) из памяти цифровых камер. PhotoRec игнорирует файловую систему и анализирует подлежащие данные, поэтому он будет работать даже если файловая система вашего носителя сильно повреждена или отформатирована.

Если вы случайно удалили файл, но все еще помните некоторые строки, которые были записаны в этом файле, вы можете использовать:

grep -a -B 25 -A 100 'содержат строку' /dev/sda1 > result.txt

Я использовал foremost для восстановления поврежденного жесткого диска как на NTFS (Windows), FAT32 (флешка от Nokia), так и ext3 с отличными результатами. Только командная строка, но достаточно просто, что-то вроде этого:

sudo foremost -i /dev/sda -o <директория для сохранения восстановленных файлов>

Он сортирует восстановленные файлы по папкам по типу файла. Документы Openoffice восстанавливаются как zip файлы. Поскольку его необходимо выполнять от имени root (для прямого доступа к оборудованию), файлы вывода также являются собственностью root, поэтому, вероятно, вам потребуется изменить их владельца после этого.

extundelete действительно хороший инструмент, если ваша файловая система ext3 или ext4.

Примечание: extundelete требует размонтирования вашего диска для правильной работы (это в любом случае стоит сделать как можно быстрее, чтобы избежать возможного перезаписывания надеющихся быть восстановленными байт в удаленных файлах).

Размонтирование диска на живой системе может быть сложным… вы часто получите сообщение ‘устройство занято‘. Чтобы устранить это ‘правильно’, требуется завершение всех процессов, обращающихся к файловой системе. Но… вы, вероятно, работали в домашнем каталоге, и миллионы процессов привязаны к вашему домашнему каталогу, поэтому удачи вам.

Секрет обхода этого – выполнить ‘ленивое’ размонтирование:

$ mount
/dev/sda7 на /home тип ext4 (rw)
$ sudo umount -l /home

где:

• этот пример для подготовки моего монтирования /home для использования с extundelete. Вы, конечно, должны заменить /home на ваш интересующий раздел
• я сначала сделал команду mount, чтобы выяснить какое устройство (/dev/sda7) мне нужно передать extundelete (вывод сокращен для краткости)
• в опции -l это строчная L

R-Linux(Recovery studio) один из лучших. Я пользовался этим инструментом много раз раньше. Я работал в компании, где использовали коммерческую версию, и 9 из 10 раз он восстанавливает все, что вам нужно. Действительно превосходное приложение. Я не раз спасал себя и друзей с его помощью.

R-Linux — это бесплатная утилита для восстановления файлов для файловой системы Ext2/Ext3/Ext4 FS, используемой в ОС Linux и в некоторых Unix. R-Linux использует ту же технологию InteligentScan, что и R-Studio, и гибкие настройки параметров, чтобы обеспечить самую быструю и надежную восстановление файлов на платформе Linux. Однако, в отличие от R-Studio, R-Linux не может восстанавливать данные по сети или восстанавливать RAID, или обеспечивать копирование объектов.

Особенности (с их сайта):

R-Linux восстанавливает файлы:

• Удаленные из-за атаки вируса, отключения питания или сбоя системы;
• После того, как раздел с файлами был переформатирован, поврежден или удален;
• Когда структура разделов на диске была изменена или повреждена. В этом случае R-Linux может просканировать диск, пытаясь найти ранее существовавшие разделы и восстановить файлы из найденных разделов.
• С дисков с плохими секторами. В этом случае R-Linux может сначала скопировать весь диск или его часть в файл-образ, а затем обработать файл-образ. Это особенно полезно, когда новые плохие сектора постоянно появляются на диске, и оставшуюся информацию необходимо немедленно сохранить.

R-Linux Расширенные функции:

• Стандартный интерфейс в стиле “Проводник Windows”.

• Хостовая ОС:

  • Вариант Linux: Linux, ядро 2.6 и выше
  • Вариант Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8

• Поддерживаемые файловые системы: Только Ext2/Ext3/Ext4 FS (Linux).

• Распознавание и разбор схемы разметки разделов Динамическое (Windows 2000/XP/Vista/Win7), Базовое, GPT и BSD (UNIX) и карту разделов Apple. Поддерживаются динамические разделы поверх GPT, как и динамические разделы над MBR.

• Создает файлы изображений для всего жесткого диска, логического диска или его части. Такие файлы изображений могут обрабатываться как обычные диски. Изображения могут быть либо простыми точными копиями объектов (Простые изображения), совместимыми со старыми версиями R-Linux, либо сжатыми изображениями, которые могут быть сжаты, разделены на несколько частей и защищены паролем. Такие изображения полностью совместимы с изображениями, созданными R-Drive Image, но несовместимы со старыми версиями R-Linux.

• Распознает локализованные имена.

• Восстановленные файлы могут быть сохранены на любых (включая сетевые) дисках, доступных хост-операционной системе.

Чтобы восстановить директорию, вы можете использовать extundelete

1. Установите extundelete

   sudo apt-get install extundelete
   

2. Команда для восстановления

   sudo extundelete --restore-directory /home/Documents/ /dev/sda1
   

Примечание: Вместо dev/sda1 вставьте имя раздела вашего жесткого диска.

/home/Documents/ это ваш путь к удаленной директории.

Попробуйте Scalpel

sudo apt-get install scalpel

для получения дополнительной информации

man scalpel

Если используете второй внутренний жесткий диск (подозреваю, что то же самое для внешнего жесткого диска) для импорта восстановленных файлов (с основного жесткого диска, где файлы изначально находились), необходимо создать директорию, в которую будут помещаться файлы на втором жестком диске.
Для этого вам необходимо иметь настройку BIOS для загрузки с CD сначала!
1. Запустите живой диск Ubuntu Rescue-Remix CD, дайте команду для загрузки, затем, когда загружается в терминал, проверьте ваши жесткие диски командой – Код: sudo fdisk -l

Определите, какой жесткий диск основной, какой второй, и какой раздел проверить на наличие файлов и в каком их восстановить – Linux ext3 или Windows NTFS! У меня был Linux. Убедитесь, что там достаточно места!
(Затем вы можете попытаться запустить Photorec (“sudo photorec”), и, надеюсь, вы сможете увидеть все ваши жесткие диски. Мне так не повезло, поэтому я должен был создать директорию и смонтировать второй жесткий диск.)

2. Сначала создайте директорию для восстановления файлов, например – media/disk. Дайте команду – Код: sudo mkdir /media/disk

Если все в порядке, терминал просто вернет вам приглашение.

3. Необходимо смонтировать второй жесткий диск, иначе он будет невидим, даже если “sudo fdisk -l” его покажет. Дайте команду для второго жесткого диска –
   Код: sudo mount -t ext3 /dev/sdb2 /media/disk

Если все в порядке, терминал просто вернет вам приглашение.

4. Запустите Photorec командой – Код:

   sudo photorec

Пройдите через настройки и выберите только те типы файлов, которые вам нужны, иначе у вас будет тысячи файлов для просеивания!

Для получения дополнительных деталей вы можете посетить: http://www.ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu

Autopsy и инструменты Sleuthkit отлично подходят для восстановления удаленных файлов с удобным интерфейсом пользователя, а также доступны в репозиториях:

sudo apt install autopsy

Установите scalpel

sudo apt-get install scalpel

Отредактируйте файл scalpel.conf и разкомментируйте типы файлов, которые вы хотите восстановить.
Создайте пустую папку (например: recovered_data)
Найдите раздел, на котором находились ваши данные. Вы можете использовать lsblk для получения карты разделов.

sudo lsblk

Запустите scalpel (предположим, данные были в sda1)

sudo scalpel -o recovered_data/ /dev/sda1

Недавно я использовал ext3grep для восстановления большого файла SQLite 3, который был удален из файловой системы ext3.

Я пробовал много других инструментов для восстановления, и все они не смогли восстановить файл (из образа диска dd).

Чтобы использовать ext3grep, мне нужно было скачать и скомпилировать исходник. Внимательное чтение http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html от начала до конца, чтобы понять, как работает файловая система ext3 и как использовать журнал для поиска мест, где удаленные файлы использовались на диске, также потребовалось.

Это не простое решение, но очень, очень мощное. Если вы готовы потратить несколько часов на изучение документа и компиляцию программы, это стоит того.

The Sleuth Kit
https://en.wikipedia.org/wiki/The_Sleuth_Kit статья в Википедии также ссылается на инструменты с графическим интерфейсом.