dot*_*hen 8 data-recovery system-installation
背景:在戴尔 Latitude 上 OEM 安装 Ubuntu 18.04。请注意,这不是 OEM 安装的 Ubuntu,而是我使用“作为 OEM 安装”选项安装的 Ubuntu 18.04。
在浏览菜单时,用户单击了下一次启动时将 OEM 安装更改为常规安装的内容,用户名不是oem. 他收到了常规安装屏幕的提示,并尽其所能填写。在任何地方都没有警告数据会丢失。系统立即关闭,我现在在我的桌面上安装了只读驱动器。
现在这已转换为常规安装,如何恢复其中的数据/home/oem/?请注意,extundelete在磁盘上找不到任何已删除的内容,但我确实看到/opt/带有第三方应用程序的自定义目录仍然完好无损。
我曾经autopsy扫描驱动器,我确实看到有一个文件(不是目录)被调用,/home/oem/但它的内容似乎没有用:https :
//pastebin.com/XXCiu7Bb
我还尝试使用testdisk(Photorec 工具)打开分区,但在那里我看到了文件, /home/oem但没有看到/home/oem/我知道是 OEM 用户主目录的目录。可能是我在恢复过程的早期阶段偶然创建了这个文件,而它仍然在笔记本电脑中,但现在我将驱动器安装在另一台计算机上只读。是的,我知道由于驱动器以读写方式安装,某些数据可能已丢失。
/home/oem/目录中不再存在的任何内容感到满意,但如果可能的话,主要是文本和 ODT 文件。让我们快速开始了解 OEM 环境的一般用途:它允许一次创建和定制一台机器或一小批机器。这(相对)类似于 Windows审核模式的概念。典型的 OEM 工作流程如下所示:
大多数提供 Ubuntu 安装的家庭或小型工作室将在每台设备上使用 OEM 安装,无需任何映像。最终用户将收到设备,并且在首次启动时,系统会提示他们创建帐户并配置所有内容。
那么,oem当设备准备发货时,用户会发生什么情况呢?好吧,当设备准备发货时,它会启动许多任务,删除 OEM 用户并准备环境(卸载软件包、更新 systemd 单元文件等)。所有准备脚本都位于,可以在此处/usr/sbin/oem-config*查看。用户被转回到 Ubiquity(设置屏幕),在那里他们进行帐户设置。
坏消息是所有这些任务都是相当密集的写入。许多(最近)释放的块现在将/home/oem用于新用户的配置以及新系统和 OOBE 配置所做的更改。
话虽如此,您正在为恢复这些数据而进行一场艰苦的战斗。丢失的文件(相对)较小,因此在创建新帐户时很容易被覆盖。photorec正如您已经尝试过的,像/testdisk和 这样的工具autopsy可能是您最好的选择。如果这些工具无法恢复任何内容,那么除了人们通常无法使用的一些非常昂贵和/或非常强大的恢复工具之外,可能没有什么可以做的了。
/home/oem 您确实提到了文件和文件夹的存在。这可能会导致数据恢复工具变得有点混乱 - 文件不能有子文件,因此此时任何拼凑文件树的尝试都将失败。运行磁盘恢复工具时,请务必查找任何“孤立”文件或不属于特定目录的文件。
我将从使用的评论中回到我的建议photorec。它不像 那样专注于分区或文件系统级恢复testdisk,而是尝试提取和恢复单个文件,同时忽略目录或文件系统结构。这是次优的(路径和可能的文件名都会丢失),但恢复原始数据总比什么都不恢复要好。我怀疑autopsy有一个类似的“杂项”出纸箱,但我对该工具不够熟悉,无法告诉您在哪里寻找它。
如果photorec无法恢复文件本身,则它们很可能(大部分)在用户启动的个性化阶段被覆盖。在这种情况下,最好与数据取证专家签订服务合同,让他们能够使用必要的工具和专业知识来恢复此类数据。
好消息是,如果用户 OEM 被删除并在其位置创建了新用户,则创建的框架文件有望与从用户 OEM 中删除的框架文件大小相同。然后,如果新用户除此之外没有创建任何新文件,则用户 OEM 创建的新文件有望仍位于磁盘上的废弃扇区中。希望唯一丢失的 OEM 文件是在相对相同位置简单地被新用户骨架文件替换的 OEM 骨架文件。在“希望”下划线......
\n\n恢复数据肯定需要做很多工作。如果您对文件感兴趣,.odt您首先需要找到代表文件的字符串.odt。例如:
$ ll Double*\n\n-rw-rw-r-- 1 rick rick 192599 Mar 18 2018 Double suspend.odt\n\n$ head "Double suspend.odt" -c 400\n\nPK\xef\xbf\xbd\xef\xbf\xbdrL^\xef\xbf\xbd2\n \'mimetypeapplication/vnd.oasis.opendocument.textPK\xef\xbf\xbd\xef\xbf\xbdrL\xef\xbf\xbd\xef\xbf\xbd\xef\xbf\xbdA\xef\xbf\xbd#\xef\xbf\xbd#Thumbnails/thumbnail.png\xef\xbf\xbdPNG\n所以我可以在grep我的硬盘驱动器上(尽管你不能使用此方法)包含字符串“ mimetypeapplication/vnd.oasis.opendocument.textPK”的所有文件:
$ time grepall "mimetypeapplication/vnd.oasis.opendocument.textPK"\n\nBinary file /usr/share/cups/data/form_english_in.odt matches\nBinary file /usr/share/cups/data/form_russian_in.odt matches\nBinary file /usr/share/doc/fonts-sil-abyssinica/documentation/AbyssinicaSILGraphiteFontFeatures.odt matches\nBinary file /usr/lib/libreoffice/share/template/common/internal/idxexample.odt matches\n (... SNIP ...)\n60.47user 22.74system 2:23.48elapsed 58%CPU (0avgtext+0avgdata 20788maxresident)k\n61233744inputs+0outputs (0major+8533minor)pagefaults 0swaps\n\nreal 2m25.881s\nuser 1m0.507s\nsys 0m22.759s\n现在,grep您不必使用一个工具来搜索硬盘驱动器的每个字节,无论它是否是文件的一部分。一个例子是这个封闭式问答中的工具:
然后还有其他工具:
\n\n最后,如果您刚刚编写了新的 Microsoft DOS 1.0 并且丢失了汇编代码的唯一副本,您可以使用数据恢复服务。你可以用谷歌搜索。最后考虑一下这篇文章:
\n\n\n| 归档时间: |
|
| 查看次数: |
1737 次 |
| 最近记录: |