Утилиты для восстановления потерянных данных в Linux. Восстанавливаем удаленные файлы Восстановление данных под linux

Пришел ко мне знакомый с такой проблемой: Нужно восстановить удаленные файлы с флэш-карты фотоаппарта. Работаю я в магазине по продаже и настройке компьютеров и естественно, что там у нас только Windows. Была у меня в запасе одна безотказная программа, которая выручала меня, и не только, не один раз — Zero Assumption Recovery. Хорошая программа на самом деле, но платная и для винды. Одним словом сканировала она 4 гиговую флэшку часа 2-3, кое-что нашла. Попытался восстановить, но в итоге в восстанавливаемой папке ничего не оказалось. Для меня это был шок! Такое с этой прогой было впервые. Решил попытаться поколдовать с картой памяти дома, но уже на родной Убунту 11.10.

Для этого я вызвал программу для восстановления именно с карт памяти или флэшек под названием PhotoRec из пакета TestDisk. Если программа не установлена, то устанавливаем:

sudo apt-get install testdisk

Теперь, не закрывая Терминал, вызываем программу командой

и вводим пароль пользователя

Далее перед нами откроются всевозможные подключенные диски на нашем компьютере. Нужная мне флэшка была третья. Стрелками вверх или вниз, вправо или влево мы будем передвигаться по Терминалу. Выделяем нужный диск/карту/флэшку, в нашем случае UDF 2.0 Silicon-Power 8G и жмем Enter.

Если нужно восстановить все файлы, то жмем Enter, а если нужно восстановить файлы одного или нескольких типов, то стрелкой Вправо переходим на пункт File Opt и далее жмем Enter.

По умолчанию все типы файлов выделены для поиска и восстановления. Буквой S снимаем все выделения. Стрелками Вверх и Вниз ищем нужный тип файлов и выделяем кнопкой Пробел. Жмем Enter.

В нижнем меню переходим на пункт Search.

Выбираем пункт FAT32. Жмем Enter. Из всех вариантов выбираем Other , т.к. наша флешка имеет файловую систему FAT32.

Если выбрать пункт FREE, то поиск будет произведен в пустом пространстве и в этом случае будут восстановлены только удаленные файлы, а если выбрать WHOLE, то поиск будет произведен на всей поверхности флешки или диска.

Теперь нужно указать директорию, куда будем сохранять нужные нам файлы. Выбираем нужную папку и естественно жмем Enter.

Если PhotoRec не принесла результатов, то попробуйте другие инструменты.

Использование Scalpel

Scalpel - это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований.

Установка Scalpel в Ubuntu, Linux Mint и Debian

Откройте терминал и скопируйте в него команду:

Sudo apt-get install scalpel

После завершения установки scalpel, вам нужно найти файл scalpel.conf :

Locate scalpel.conf

Обычно он размещается в /etc/scalpel/scalpel.conf или /etc/scalpel.conf. Откройте этот файл текстовым редактором, вы увидите, что все строки закомментированы (начинаются с # ). Т.е. перед запуском scalpel вам нужно раскомментировать форматы файлов, которые вы хотите восстановить. Если раскомментировать весь файл, то потребуется много времени и появится много ложных результатов.

Допустим, я хочу восстановить только файлы.jpg, тогда я просто раскомментирую секцию jpg в конфигурационном файле scalpel.

# GIF and JPG files (very common) gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9

В командной строке вам нужно указать расположение удалённых файлов, которые вы пытаетесь восстановить (в данном примере это /dev/sda1 ):

Sudo scalpel /dev/sda1-o output

Переключатель -o указывает на директорию вывода, где вы хотите сохранить ваши восстановленные файлы. Перед запуском программы убедитесь, что это директория является пустой, в противном случае вы получите ошибку. Вывод команды:

Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/dev/sda1" Image file pass 1/2. /dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA

Как вы видите, теперь scalpel выполняет свои действия, процесс восстановления удалённых файлов занимает время, которое зависит от объёма диска, который вы сканируете, и от скоросоти машины.

Использование extundelete

Использование foremost

Удалён файл, открытый в программе

Если вы считаете, что удалённый файл ещё открыт в какой-то программе (например, фильм, который в настоящий момент проигрывается медиа плеером) и вы знаете имя файла, но для начала попробуйте эту процедуру:

Lsof|grep "путь/до/файла" progname 5559 user 22r REG 8,5 1282410 1294349 /path/to/file

Запоминаем номер во втором столбце, это 5559, и номер в четвёртой колонке, это 22. Тогда команда восстановления:

Cp /proc/5559/fd/22 restored.file

Если этот трюк не дал результата, то немедленно размонтируйте файловую систему с удалённым файлом или переведите её в режим только чтения.

Краткое описание : В этой статье показано, как восстановить удаленные файлы в Linux с помощью инструмента командной строки Test Disk . Это простой в использовании инструмент, который практически любой может использовать для восстановления потерянных файлов в Ubuntu или других дистрибутивах Linux.

Вы когда-нибудь получали это ужасное чувство? То, которое вы получаете, когда понимаете, что вы случайно удалили файлы, и это даже не в корзину? Часто ему сразу предшествует отказ: я знаю, что у меня есть другая копия.

Но не переживайте все этапы горя, не волнуйтесь. И помните, что вы не одиноки; рано или поздно все это делают.

Кстати, вы знаете ? Мы уже писали об этом. Перейти можно по ссылке выше.

Но после фразы «Не волнуйся», вы счётчик: «Я просто удалил единственную копию моего резюме!» и что делать?

Нет, не волнуйтесь все ваши файлы на месте . Все, что случилось, это то, что файл был сбит с списка. Пока вы не проводите установку крупным программ и других файлов на диске, он абсолютно все еще существует. Фактически, в зависимости от размера файла и свободного пространства на вашем диске удаленные файлы могут сохраняться бесконечно, даже если вы делаете перезапись и форматирование на диске. Восстановление удаленных файлов Linux можно совершить через командную строку, про этот способ мы и расскажем.

Как восстановить удаленные файлы в Linux

«Да, хорошо», вы говорите: «Я успокоюсь, зная, что мой файл «существует » в каком-то абстрактном смысле. Но насколько я заинтересован, если я не могу открыть, отредактировать или распечатать его, он не существует в каком-либо практическом смысле. То, что действительно помогло бы, было бы способом восстановления тех файлов которые были удалены с диска. И тот, который не требует лаборатории ИТ-экспертизы.

На самом деле, не волнуйтесь — вам не нужна лаборатория для восстановления удаленных файлов. Кроме того, если вы можете пройти мимо примитивного графического интерфейса, на самом деле это легко сделать! Я покажу вам, как использовать TestDisk для восстановления удаленных файлов.

Как восстановить удаленные файлы в Linux с помощью TestDisk

Позвольте мне привести упрощенный пример: я взял чистый флеш-диск, добавив несколько файлов, а затем удалил один. Теперь у моей системы есть функция, которая будет напрямую удалять файлы со съемных носителей, обходя «корзину» вообще; то есть, если я выберу «правый» щелчок по файлу, а затем выберите «удалить». Он по-прежнему представляет предупреждение, но один раз нажмите кнопку «Да», и файл исчез навсегда. Или похоже.

Но на этот раз я не понял этого ужасного чувства. И нет, не потому, что это приготовленный сценарий. Я знал, что все, что мне нужно было сделать, это открыть терминал типа «testdisk » и нажать «enter». Когда я впервые это сделал, у меня был один из моих «моментов Linux». Потому что, если у вас его нет — и я не … это говорит вам, как это получить! Просто введите «sudo apt install testdisk » и нажмите Enter, и вы получите его примерно через 10 секунд.

Шаг 1

Восстановление удаленных файлов Linux очень быстрым. Сначала вам нужно установить TestDisk. Большинство дистрибутивов Linux уже имеют этот инструмент в своем официальном репозитории. В Ubuntu и других дистрибутивах Linux на базе Ubuntu, таких как Linux Mint, элементарная ОС и т. Д., Вы можете использовать приведенную ниже команду для установки TestDisk:

sudo apt install testdisk

Пользователи Arch Linux могут установить его из AUR. Вы можете загрузить его для других дистрибутивов Linux по ссылке ниже:

Хотя я использую Ubuntu в этом уроке, это не значит, что восстановить только удаленные файлы в Ubuntu Linux. Инструкции, представленные здесь, также работают и для других дистрибутивов.

Шаг 2

Запустите TestDisk в терминале, используя следующую команду:

Шаг 3

Когда вы откроете его, вы увидите что-то похожее на это. Потерпи! Интерфейс на самом деле прост, но вам нужно внимательно прочитать текст. Используйте клавиши со стрелками для навигации и «введите», чтобы выбрать.

Экраны с дополнительными командами расскажут вам об этом. Также обратите внимание, что TestDisk 7.0 имеет тенденцию выделять следующий разумный шаг. Это почти всегда правильно, но читайте экран, так как он не может читать ваши мысли. В любом случае, когда он хочет, чтобы вы создали файл журнала, побалуйте его. Это собирается вытащить тебя из ямы.

Шаг 4

Теперь, в этот момент, если вам повезет, вы должны увидеть свой диск. И вы можете перейти к последним шагам. Но давайте предположим, что вы этого не сделали, у вас есть, скажем, машина с несколькими загрузками. В этом случае владельцы могут размываться, и Testdisk нуждается в вашем разрешении открыть их. Вы увидите что-то вроде этого:

Выберите «sudo» и введите свой пароль. Нажмите «ввести» и «введите» еще раз на следующем экране, чтобы создать другой файл журнала.

Шаг 5

На этот раз Testdisk отобразит все ваши диски. Клавиша со стрелкой к соответствующему диску и нажмите enter.

Шаг 6

Testdisk снова выбрал правильную настройку. Это имеет смысл, поскольку простое запоминающее устройство редко разделяется. Снова нажмите enter:

Шаг 7

Мы прошли основные пункты, если говорить про Восстановление удаленных файлов Linux. И, наконец, мы должны немного подумать. Если вы читаете первый экран, и я готов поспорить, что вы этого не сделали, эта программа предназначена не только для восстановления удаленных файлов. Это мощная дисковая утилита. Но если мы помним, что мы пытаемся сделать выбор, это довольно очевидно: мы не пытаемся исправить диск, мы пытаемся восстановить файл. Выберите «Дополнительно» и нажмите «Ввод».

Шаг 8

В нижней части страницы выберите «Undelete » и приготовьтесь увидеть ваш файл!

Шаг 9

Testdisk будет проверять файлы и создавать список удаленных файлов, выделенных красным цветом. Стрелка вниз и внимательно прочитайте варианты внизу.

Шаг 10

Опять же, имейте в виду, что Testdisk — это многофункциональный инструмент. Большинство из этих вариантов относятся к группам файлов; мы только хотим, чтобы наш файл который был удален вернулся! Так что нажмите «c».

Как вы можете видеть на табло, мы выиграли со счетом 1: 0. После нажатия «c» есть варианты, где вы можете захотеть восстановить файл, но по умолчанию используется ваша домашняя папка. И снова это, как правило, самое лучшее. Навигация в Testdisk немного сложнее, а перетаскивание после того, как факт — легкий ветерок.

Вот и все! Восстановление удаленных файлов Linux завершено. Сейчас можете узнать про общие советы при восстановлении файлов. Там будут ответы на многие вопросы касательно этой темы.

Несколько советов по восстановлению удаленных файлов в Linux с помощью TestDisk

Во-первых, если вы окажетесь где-то, чего не хотите, нажмите «q» для выхода. Это не закроет программу, вместо этого она будет действовать как кнопка «назад» в программе с полномасштабным графическим интерфейсом и вернет вам страницу. И так же, как повторение кнопки «назад», в конечном итоге приведет вас к началу.

Во-вторых, как и в любом случае, чем меньше отвлекает, тем легче найти то, что вы ищете. Другими словами, физически отсоединить все остальные накопители. В графически простых средах простота — ваш друг.

Наконец, Testdisk также может помочь вам восстановить файлы, которые стали недоступными по другим причинам. Фактически, именно поэтому я начал использовать программу в первую очередь. Я пытался сохранить файлы с поврежденного диска, который нельзя было сделать для загрузки. Обычно это просто вопрос о том, чтобы удалить упомянутый диск, подключив его к USB-адаптеру. Затем вы можете подключить его на другом ПК и скопировать файлы, когда захотите.

Но что, если диск отформатирован в LVM ? Это была моя проблема, потому что установленный LVM-накопитель не похож на обычную ОС Linux. Ни один из обычных файлов не появляется, и охота вокруг просто не помогает. Это, помимо прочего, связано с тем, что большинство файловых менеджеров Linux больше не могут читать файловые системы ext.2.

Тем не менее, после нескольких ложных запусков, я смог найти и сохранить недостающие файлы. Обратите внимание, однако, что последовательность шагов здесь будет немного отличаться, вам может потребоваться использовать «анализ» для Testdisk, чтобы понять дисковод, и вам может потребоваться немного подтолкнуть, чтобы найти «домашнюю» папку как только сделаете. Кроме того, файлы, которые вы ищете, не будут отображаться красным цветом, поскольку они никогда не были удалены в первую очередь. Но как только вы их найдете, процедура копирования в основном такая же.

С Testdisk и немного удачи, вы никогда не потеряете свои файлы и видео снова, так как вы всегда можете восстановить удаленные файлы в Linux .

Это руководство является инструкцией для новичков в мире дистрибутивов на базе всем известного ядра. Надеемся, что для вас Восстановление удаленных файлов Linux было быстрым.

Выводы

Восстановление удаленных файлов Linux является очень быстрым и понятным. Даже начинающий пользователь Linux сможет разобраться, с помощью нашего руководства. Если статья была для вас полезной то, делитесь ею на своих страницах в социальных сетях Google+, Facebook, Twitter, ВКонтакте и Одноклассники. Это нам очень поможет. Давайте развивать наше сообщество вместе.

Также, если у вас остались вопросы по теме «Восстановление удаленных файлов Linux» - пишите их в форму комментариев.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

Иногда так случается, что мы удаляем, как казалось бы ненужные файлы (изображения, видео, текстовые документы и пр.), а потом вдруг сожалеем об этом, т.к. среди удалённых, оказались нужные. Хорошо если мы удаляем файлы в Корзину , откуда очень просто восстановить, нажав сочетание клавиш Ctrl+Z и тогда все файлы, что находятся в Корзине будут восстановлены по своим прежним папкам или можно выборочно, кликнув правой кнопкой на нужный файл в Корзине и в контекстном меню - Восстановить .

Но что делать когда мы удалили фалы функцией - Удалить безвозвратно ? Многие считают, что данные утеряны безвозвратно. Но это не так. В этом случае нам поможет консольная утилита Scalpel .

Scalpel — простое высокодейственное средство восстановления файлов.
Scalpel — это средство быстрого восстановления файлов, которое читая из базы данных начало и конец файлов известных форматов, пытается найти их на диске. Уникальность данного ПО заключается в том, что оно не зависит от файловой системы. Поэтому, восстановление возможно как с FATx, NTFS, ext2/3 , так и с "голых" (raw) разделов . Инструмент может использоваться как для цифрового поиска информации, так и для восстановления файлов.

Scalpel есть в репозиториях практически всех дистрибутивах Linux . В Ubuntu и производных вы можете установить его из Центра приложений или выполнить команду в терминале на установку:

sudo apt-get install scalpel

После установки вы не найдёте в системном меню Scalpel , т.к. я упоминал выше, этот инструмент запускается из терминала определённой командой. Но прежде чем запустить команду на поиск безвозвратно удалённых файлов, вы должны в конфигурационном файле scalpel.conf раскомментировать строку (убрать знак решётки) с расширением нужного файла (Все типы файлов "по умолчанию" закомментированы). Выполните команду в терминале на открытие конфигурационного файла scalpel.conf:

sudo gedit /etc/scalpel/scalpel.conf

Примечание . В команде gedit (Ubuntu; Linux Mint Cinnamon) измените на название текстового редактора своего дистрибутива, установленного по умолчанию.

Для примера я выбрал поиск потерянных файлов изображений c расширением JPG и раскомментировал данную строку в открывшемся редакторе с файлом scalpel.conf :

И вот теперь нужно выполнить терминальную команду с инструментом
scalpel для поиска утраченных файлов:

sudo scalpel /dev/sda8 -o /home/vladimir /JPG /output/

sda8 - это раздел на ж/диске моей актуальной системы. Чтобы вам определить свой раздел и изменить его в команде, выполните команду:

/home/vladimir - это имя моей Домашней папки . Измените vladimir на своё.

/JPG - это название папки в команде, которая будет создана а вашей Домашней папке , куда будут сохранены все восстановленные файлы, которое вы также можете изменить на своё.

Итак, выполняем команду и ждём окончания восстановления:

По окончании восстановления, откройте Домашнюю папку с правами администратора:

sudo nautilus

Вместо nautilus укажите название файлового менеджера своего дистрбутива (например: Linux Mint - nemo или сaja ; и т.п.).

Заключение. Хотелось бы заметить, что инструмент scalpel находит все файлы с указанным расширением, даже те, что были раньше на этом разделе, когда на нём когда-то были установлены другие операционные системы. Данная утилита также используется спецслужбами разных стран для поиска компромата пользователя компьютером в случае необходимости. Так что чем бы мы не удаляли файлы безвозвратно, они всё-равно оставляют свой след на ж/диске.

Только физическое уничтожение ж/диска избавит пользователя компьютером от компрометирующих файлов .

Иногда так случается, что мы удаляем, как казалось бы ненужные файлы (изображения, видео, текстовые документы и пр.), а потом вдруг сожалеем об этом, т.к. среди удалённых, оказались нужные. Хорошо если мы удаляем файлы в Корзину , откуда очень просто восстановить, нажав сочетание клавиш Ctrl+Z и тогда все файлы, что находятся в Корзине будут восстановлены по своим прежним папкам или можно выборочно, кликнув правой кнопкой на нужный файл в Корзине и в контекстном меню - Восстановить .

Но что делать когда мы удалили фалы функцией - Удалить безвозвратно ? Многие считают, что данные утеряны безвозвратно. Но это не так. В этом случае нам поможет консольная утилита Scalpel .

Scalpel — простое высокодейственное средство восстановления файлов.
Scalpel — это средство быстрого восстановления файлов, которое читая из базы данных начало и конец файлов известных форматов, пытается найти их на диске. Уникальность данного ПО заключается в том, что оно не зависит от файловой системы. Поэтому, восстановление возможно как с FATx, NTFS, ext2/3 , так и с "голых" (raw) разделов . Инструмент может использоваться как для цифрового поиска информации, так и для восстановления файлов.

Scalpel есть в репозиториях практически всех дистрибутивах Linux . В Ubuntu и производных вы можете установить его из Центра приложений или выполнить команду в терминале на установку:

sudo apt-get install scalpel

После установки вы не найдёте в системном меню Scalpel , т.к. я упоминал выше, этот инструмент запускается из терминала определённой командой. Но прежде чем запустить команду на поиск безвозвратно удалённых файлов, вы должны в конфигурационном файле scalpel.conf раскомментировать строку (убрать знак решётки) с расширением нужного файла (Все типы файлов "по умолчанию" закомментированы). Выполните команду в терминале на открытие конфигурационного файла scalpel.conf:

sudo gedit /etc/scalpel/scalpel.conf

Примечание . В команде gedit (Ubuntu; Linux Mint Cinnamon) измените на название текстового редактора своего дистрибутива, установленного по умолчанию.

Для примера я выбрал поиск потерянных файлов изображений c расширением JPG и раскомментировал данную строку в открывшемся редакторе с файлом scalpel.conf :

И вот теперь нужно выполнить терминальную команду с инструментом
scalpel для поиска утраченных файлов:

sudo scalpel /dev/sda8 -o /home/vladimir /JPG /output/

sda8 - это раздел на ж/диске моей актуальной системы. Чтобы вам определить свой раздел и изменить его в команде, выполните команду:

/home/vladimir - это имя моей Домашней папки . Измените vladimir на своё.

/JPG - это название папки в команде, которая будет создана а вашей Домашней папке , куда будут сохранены все восстановленные файлы, которое вы также можете изменить на своё.

Итак, выполняем команду и ждём окончания восстановления:

По окончании восстановления, откройте Домашнюю папку с правами администратора:

sudo nautilus

Вместо nautilus укажите название файлового менеджера своего дистрбутива (например: Linux Mint - nemo или сaja ; и т.п.).

Заключение. Хотелось бы заметить, что инструмент scalpel находит все файлы с указанным расширением, даже те, что были раньше на этом разделе, когда на нём когда-то были установлены другие операционные системы. Данная утилита также используется спецслужбами разных стран для поиска компромата пользователя компьютером в случае необходимости. Так что чем бы мы не удаляли файлы безвозвратно, они всё-равно оставляют свой след на ж/диске.

Только физическое уничтожение ж/диска избавит пользователя компьютером от компрометирующих файлов .