我远不及黑客或安全人员。我只是两个喜欢旅行的小孩的父亲。我不知道在这里问是否可以,但是你们谈论的事情超出了我的脑海,但我认为你们可能有想法。
几个月前,我的 2010 macbook air 真的很慢,所以我决定使用 Time Machine 和 Time Capsule 制作我的系统的安全副本,并格式化我的 mac SSD 驱动器以重新安装(重新)安装 Mac OS X。我没有使用 Time Machine 的备份重新开始,因为我希望一切都是新鲜的。但当时我不知道的是 Time Machine 会继续为我的系统创建同名的备份。所以我以前系统的所有孩子/旅行照片、视频、文件都不见了。我一直使用我的 macbook air 几个月,然后才意识到我的时间胶囊里的一切都消失了。现在,我有一个新的 macbook pro,所以我从旧的 macbook air 中取出了旧的 SSD 驱动器,然后我买了一个 Envoy 机箱,这样我就可以将它用作外部驱动器来尝试恢复我的文件。我不知道这个驱动器上是否有一个激活的防火库,我也不知道 TRIM。我所知道的是我可以使用这个设置浏览我的旧系统文件。当我使用任何我可以在互联网上找到的数据恢复软件时,我找到的只是格式化和(重新)启动系统后“创建”的文件,但在此之前没有。
非博士或 masterrussianhacker 有没有办法恢复这些文件?
非常感谢!
乔纳森
小智 10
您最好的恢复机会是通过专业的磁盘恢复服务。如果数据可以被检索,他们就是做这件事的人。当然,这些服务非常昂贵(不要对四位数的报价感到惊讶,因为这项任务是劳动密集型的),但是如果这些文件对您来说是值得的,并且您有资源,请考虑一下。
如果您想自己玩,首先要做的就是购买一个硬件USB 写阻止程序,如果它与您的 SSD 配合使用,可能是这样的,以确保您不会意外或故意覆盖您的任何数据在您开始探索时使用 SSD。
接下来,查看The Sleuth Kit (TSK)和Autopsy。Sleuth Kit 是一个免费的取证分析工具包,其中包括磁盘分析工具,包括恢复已删除文件的功能。Autopsy 是 TSK 和其他工具的图形前端,包括执行查看图像等任务的模块。
使用 Autopsy 的诀窍是理解其步骤的语言。始终牢记该工具旨在供执法调查人员使用,他们正在寻找犯罪活动的证据,例如儿童色情、毒品、联系人列表、旧电子邮件、最近编辑的文件、黑客工具等,并且他们说他们自己的语言。当然,这些都不适用于您,但是通过他们的眼睛查看步骤会有所帮助。
阅读文档,但您需要做的第一件事是创建一个案例。那只是一个文件来跟踪你所做的所有事情。然后这个案例将需要一个“数据源”——你所做的就是选择“本地驱动器”,然后是你的写阻止SSD。
然后,您告诉 Autopsy“摄取”数据源,它在磁盘上运行一堆工具以找出其中的内容。大多数执法内容都不适用于您,因此当您摄取数据源时,请关闭显然不适用的事物的摄取模块,例如“哈希”、“虚拟机”、“电子邮件解析器” , 等等。
然后尸检将开始处理磁盘。它在后台运行,可能需要很长时间;磁盘越大,所需的时间越长。您可以在开始向您显示文件时立即查看文件,但是一旦您确认它正在工作,您也可以退后一步让它完成。
您可能对使用名为 Image Gallery Module 的手动工具最感兴趣。这是一个快速查看器,可让您浏览它找到的所有图像。当您找到要保存的文件时,您可以右键单击它们并将它们导出为本地文件。
请记住,该工具旨在查找已隐藏或删除的文件。如果您的驱动器上可能有图像(可能在您的浏览器历史记录中)您不愿意与其他家人共享,请私下执行驱动器恢复!
祝你好运!
| 归档时间: |
|
| 查看次数: |
1207 次 |
| 最近记录: |