необходимо восстановить данные с жесткого диска с данными, на котором я использовал testdisk при попытке восстановить mbr из вируса руткита

8

Прежде чем я начну говорить о моей ситуации, пожалуйста, знайте, что я НАВСЕГДА БЛАГОДАРЕН любому, кто может помочь мне с этим беспорядком. У меня есть фотографии здесь с годами кропотливой работы. Я полупрофессиональный фотограф, и мой жесткий диск содержит примерно 1,5 ТБ данных из фотографий. Плюс 100 ГБ всей моей музыкальной библиотеки, и все мои DVD, я нашел время, чтобы записать на свой жесткий диск. Но мои фотографии меня больше всего волнуют, они не подлежат замене.

Вкратце, вот что произошло: у меня всегда была резервная копия моих данных с помощью backblaze, которая является онлайн-резервной копией для Windows. Я решил около 3 месяцев назад, что хочу запустить сервер для своих файлов, используя plex, и решил, что Ubuntu - лучший способ. Таким образом, я использовал этот метод резервного копирования, используя нечто, называемое «серая дыра», и в процессе настройки (2) жестких дисков объемом 2 ТБ и (1) жесткого диска емкостью 1 ТБ в этой программе резервного копирования с серой дырой.

Тогда я получил руткит. Эта штука была неприятной, и я думаю, что после 2 месяцев пробовать все, мне пришлось перепрошивать мой биос, и ВСЕ ЕЩЕ имел этот вирус. Мне пришлось переформатировать все мои жесткие диски и скопировать все на один жесткий диск, почти полностью заполняя его (жесткий диск 2 ТБ). Я до сих пор не избавился от этого вируса, это было невероятно. В конце концов я поймал это. Он был встроен в мою сетевую карту Ethernet. Любой, кто читает это, должен принять во внимание, что все, что встроено в него, может и заразит ваш маршрутизатор, всю вашу локальную сеть и останется на вашем компьютере даже после перепрошивки самого BIOS!

Во всяком случае, после того, как я, казалось, избавился от того, что у меня все еще были мои файлы на жестком диске. Я не хотел повторно заражать свои машины, поэтому я попытался переписать MBR, используя утилиту под названием testdisk.

БОЛЬШАЯ ОШИБКА

Я понятия не имел, что я делал. И теперь я не могу прочитать мою информацию!

Вот хорошие новости? После того, как testdisk выполнил свою задачу (которая состояла из того, что я анализировал накопитель и использовал команду WRITE для нанесения ущерба, это заняло всего 1 секунду. Это означает, что я не сидел 5-часовой процесс написания 0 на диске с «dd». Это была небольшая вещь, которую я сделал. По этой причине я думаю, что данные все еще должны быть на диске.

Вот что я знаю:

  • диск - это диск с данными, без ОС. Я использовал Ubuntu в качестве ОС на другом диске.
  • отформатированный как ext3 или ext4
  • размер = 2 ТБ
  • файлы = незаменимы, вся моя жизнь работает - без преувеличения.

Кроме того, у backblaze больше нет моих файлов, потому что прошло более 30 дней. Я переписал все свои другие резервные копии с 0 из-за руткита. Этот жесткий диск был и остается единственным источником моих файлов в то время, когда это произошло. По совпадению это единственный раз, когда я был без резервной копии в течение многих лет.

Вот копия / вставка fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

И lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Пожалуйста, помогите, что я могу сделать? Я боюсь снова облажаться с помощью testdisk. Я просто хочу восстановить файлы. Я не вижу, как они ушли.

Огромное спасибо-

wardr
источник
1
+1 за очень хорошо написанный вопрос и хороший вывод команды.
Каз Вулф

Ответы:

11

Для восстановления данных из образа на внешнем USB-накопителе необходимо выполнить следующие шаги:

  1. Прекратите использование поврежденного диска.
  2. Подготовьте внешний (ые) диск (и), содержащий вдвое больше данных, чем размер вашего поврежденного диска. Форматировать с помощью файловой системы, способной хранить такой большой файл, который будет создан на исходном диске (например, ext4)
  3. Загрузите Ubuntu с живого сеанса ( «Попробуйте Ubuntu» ).
  4. Смонтируйте внешний диск с помощью Nautilus.
  5. Проверьте точку монтирования вашего внешнего диска.
    например, с помощью Свойства -> Расположение в меню правой кнопки мыши.
  6. Проверьте местоположение вашего поврежденного диска с любой из этих команд в терминале

    sudo fdisk -l
    sudo blkid
    
  7. Создайте образ вашего поврежденного диска

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Замените sdXповрежденным диском (например sda) или разделом (например sda1). Замените /mountpoint/DRIVENAME/фактическим путем, где был установлен ваш USB-накопитель.

    Только в том случае, если sdXразмер вашего поврежденного диска ( ) равен размеру внешнего диска ( sdY), вы можете клонировать диск ( sudo dd if=/dev/sdX of=/dev/sdY) для восстановления данных на клонированном внешнем диске. Тем не менее, работа над изображением, как показано выше, является гораздо более безопасным подходом.

    На данный момент очень важно ddправильно получить команду. Если вы указали неверную запись, of=вы можете повредить все данные, которые там были.

  8. Установите TestDisk на вашу живую систему, как было подробно описано в моем ответе ниже:

  9. Прочитайте удивительное и краткое руководство от создателей TestDisk для восстановления.

  10. Если у вас большой диск, подключите другой диск / раздел для хранения восстановленных данных. Обратите внимание на эту точку монтирования для testdisk.
  11. Запустите testdisk Установить тестдиск на образе вашего диска:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. Сохраните восстановленные каталоги и файлы на резервный диск / раздел (укажите на testdisk точку монтирования этого диска в качестве места хранения на случай, если оно отличается от того, где находится образ).
  13. Убедитесь, что ваши данные там.
  14. Размонтируйте все диски или завершите сеанс.

В случае, если нам не удалось восстановить наши файлы, мы также можем запустить PhotoRec, который был установлен вместе с комплектом TestDisk, чтобы восстановить отдельные файлы (но тогда имена файлов и разрешения будут потеряны).

Ваш поврежденный диск все еще не тронут. Мы даже можем разрешить восстановление этого диска профессиональной службой в случае, если мы не выполнили вышеуказанные действия.

Takkat
источник
1
Это почти мой точный рабочий процесс для восстановления данных. Имейте +10 респ.
Каз Вулф
@takkat: посмотрите здесь . Я хотел бы отредактировать ваш ответ, чтобы изменить (необязательно) «оскорбительное» ddутверждение на одно с изображением, как в моем ответе…
Fabby
3

Я считаю, что, помимо прочего, testdisk должен работать как инструмент для восстановления ваших данных. Тем не менее, прежде всего - прежде чем делать что-то еще, вы должны защитить свою последнюю копию данных. Во-первых, только монтируйте его только для чтения. (Вы можете перемонтировать его с помощью опции ro, см. man mount)

Я предлагаю получить себе большой (> 2 ТБ) диск и скопировать полный образ вашего текущего диска: dd if=/dev/sda of=disk-image.ddгде / dev / sda - ваш монтированный диск только для чтения, а важный диск - файл на новом диске, убедитесь, что есть 2TB бесплатно.

testdisk также будет работать с изображением и сможет сортировать таблицу разделов. Возвратитесь с вопросами и комментариями, и мы можем взять это отсюда ...

Хорошее место для начала чтения - здесь: http://epyxforensics.com/node/36. Сначала мы создаем копию dd, как я предложил выше, и продолжаем работать над ней.

У вас есть экзаменационный компьютер с установленным testdisk, gparted и возможно hexedit?

DrSAR
источник
-1

Дайте "extundelte" попытку восстановить ваши файлы

mstrewe
источник
Я успешно использовал extundelete. Однако это было в случае удаленных файлов ( rm -r *в очень неподходящем месте). В случае @Head Snow кажется, что он снял MBR и ему нужен какой-то другой инструмент.
DrSAR
файлы все еще будут там, хотя верно?
Вардр
Из вашего описания звучит так, как будто они все еще там.
DrSAR
-1

Попробуйте Recuva от Piriform (создатель CCleaner ). Инструмент бесплатный. В версии 1.51.1063 добавлена ​​поддержка файловых систем ext2 и ext3.

Инструмент отсканирует диск и попытается восстановить отдельные файлы, которые были удалены с диска. Этот инструмент сохранил важные данные для нескольких людей, которых я знаю, чья деятельность зависела от их данных (например, данных Quickbooks) после того, как они потеряли все на сильно поврежденном диске или отформатировали диск.

Я знаю, что Recuva - это инструмент, доступный только в Windows и Mac, но теперь его можно использовать в типичных форматах файловых систем Linux, поэтому я подумал, что эта информация полезна здесь, на сайте Ubuntu Q & A; особенно как решение вопроса (хотя, я уверен, что он / она уже нашел решение).

tlovely
источник
2
Поскольку AU поощряет высококачественные ответы, которые не являются просто ссылками на сторонние ресурсы (и длинное объяснение, почему ваш ответ не является не по теме), можете ли вы объяснить, как использовать Recuva для восстановления данных с диска с перезаписанной таблицей разделов?
Дэвид Фёрстер