war*_*rdr 8 testdisk data-recovery
在我开始说我的情况之前,请知道我会永远感激任何能帮助我解决这个烂摊子的人。我在这里有多年艰苦工作的照片。我是一名半专业摄影师,我的硬盘包含大约 1.5 TB 的照片数据。加上我整个音乐库的 100GB,以及我所有的 DVD,我都花时间在我的硬盘上。但我的照片是我最关心的,它们是不可替代的。
现在简而言之是发生了什么:我一直使用 backblaze 备份我的数据,这是 Windows 的在线备份。大约 3 个月前,我决定使用 plex 为我的文件安装一个服务器,并决定 Ubuntu 是最好的选择。因此,我正在使用这种备份方法,使用称为“灰洞”的东西,并在此灰洞备份程序上设置 (2) 2TB 硬盘驱动器和 (1) 1 TB 硬盘驱动器。
那就是我获得rootkit的时候。这东西很糟糕,我想在尝试了 2 个月后,我不得不重新刷新我的 bios,但仍然有这种病毒。我不得不重新格式化我所有的硬盘并将所有内容备份到 1 个几乎完全填满它的硬盘(一个 2 TB 硬盘)。我仍然没有摆脱这种病毒,这太不可思议了。最终我抓住了它。它嵌入在我的网络以太网卡中。任何阅读本文的人都应该注意,嵌入其中的任何内容都可能并且会感染您的路由器、所有 LAN,并且即使通过重新刷新 BIOS 本身也会留在您的计算机上!
无论如何,在我似乎摆脱了这个东西之后,我的硬盘上仍然有我的文件。我不想重新感染我的机器,所以我尝试使用名为 testdisk 的实用程序重新编写 MBR。
大错
我不知道我在做什么。现在我无法阅读我的信息!
这是好消息吗?在 testdisk 完成它的事情之后(包括我分析驱动器,并使用 WRITE 命令来造成损坏,它只花了 1 秒钟就完成了。意思是 - 我没有经历 5 个小时的写入 0 的过程在带有“dd”的驱动器上。这是我做的一件很快的小事。因此,出于这个原因,我认为数据仍然必须在驱动器上。
这是我所知道的:
另外 - backblaze 没有我的文件了,因为它已经超过 30 天了。由于 rootkit,我已经用 0 覆盖了我所有的其他备份。在发生这种情况时,这个硬盘驱动器曾经是并且是我文件的唯一来源。巧合的是,这是我多年来唯一一次没有备份的情况。
这是 fdisk -l 的复制/粘贴
Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b
Device Boot Start End Blocks Id System
/dev/sda1 * 63 3907024064 1953512001 83 Linux
Partition 1 does not start on physical sector boundary.
和 lshw
*-scsi:0
physical id: 2
logical name: scsi2
capabilities: emulated
*-cdrom
description: DVD writer
physical id: 0.0.0
bus info: scsi@2:0.0.0
logical name: /dev/cdrom
logical name: /dev/sr0
capabilities: audio cd-r cd-rw dvd dvd-r
configuration: signature=643a3365 status=ready
*-disk
description: ATA Disk
product: ST2000DM001-1CH1
vendor: Seagate
physical id: 0.1.0
bus info: scsi@2:0.1.0
logical name: /dev/sda
version: CC24
serial: W1E2L5K7
size: 1863GiB (2TB)
capabilities: partitioned partitioned:dos
configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
*-volume
description: EXT3 volume
vendor: Linux
physical id: 1
bus info: scsi@2:0.1.0,1
logical name: /dev/sda1
version: 1.0
serial: 05ea2f85-06fd-446c-a885-30614d53630c
size: 1863GiB
capacity: 1863GiB
capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean
请帮助我该怎么办?我害怕用 testdisk 再次搞砸。我只想恢复文件。我看不出他们怎么走了。
非常感谢-
Tak*_*kat 12
要从外部 USB 驱动器上的图像恢复数据,需要执行以下步骤:
停止使用损坏的驱动器。
准备一个外部驱动器,其数据量是损坏驱动器大小的两倍。 使用能够保存从原始驱动器(例如 ext4)创建的大文件的文件系统进行格式化
从实时会话启动 Ubuntu(“尝试 Ubuntu”)。
使用 Nautilus 挂载您的外部驱动器。
验证外部驱动器的安装点。
例如,在右键菜单中使用 Properties --> Location。
在终端中使用任何这些命令验证损坏驱动器的位置
sudo fdisk -l
sudo blkid
创建损坏驱动器的映像
sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
替换sdX为损坏的驱动器(例如sda)或分区(例如sda1)。替换/mountpoint/DRIVENAME/为安装 USB 驱动器的实际路径。
只有在损坏的驱动器 ( sdX) 与外部驱动器 ( sdY)的大小相同的情况下,您才能克隆驱动器 ( sudo dd if=/dev/sdX of=/dev/sdY) 以在克隆的外部驱动器上执行数据救援。尽管如此,处理如上所示的图像是一种更安全的方法。
此时
dd正确获取命令至关重要。如果您输入错误的条目,of=可能会损坏那里存在的所有数据。
如果您的驱动器很大,请安装另一个驱动器/分区来保存恢复的数据。请注意 testdisk 的此挂载点。
在驱动器的映像上运行testdisk:
cd /mountpoint/DRIVENAME/
sudo testdisk rescue.dd
将恢复的目录和文件保存到您的备份驱动器/分区(为 testdisk 提供此驱动器的挂载点作为存储位置,以防它与映像所在的位置不同)。
验证您的数据是否存在。
卸载所有驱动器或关闭实时会话。
如果我们没有成功恢复我们的文件,我们也可以运行与 TestDisk 套件一起安装的PhotoRec来恢复单个文件(但文件名权限和目录将丢失)。
您损坏的驱动器仍然完好无损。如果上述步骤失败,我们甚至可以让专业服务人员恢复此驱动器。
我相信,除其他外,testdisk 应该作为恢复数据的工具。然而,首先也是最重要的 - 在执行其他操作之前,您需要保护数据的最后一个副本。首先,从现在开始仅将其挂载为只读。(您可以使用选项 ro 重新安装它,请参阅man mount)
我建议你自己准备一个大的(>2TB)磁盘,并将当前磁盘的完整映像复制到:dd if=/dev/sda of=disk-image.dd其中 /dev/sda 是只读安装的所有重要磁盘,disk-image.dd 是新磁盘上的文件,确保有 2TB 可用空间。
testdisk 也可以处理映像,并且应该能够对分区表进行排序。带着问题和评论回来,我们可以从这里得到......
开始阅读的好地方是: http: //epyxforensics.com/node/36 在它的演练中,首先按照我上面的建议创建 dd 副本,然后继续处理该副本。
您是否拥有一台安装了 testdisk、gparted 甚至 hexedit 的考试计算机?