Installer Scalpel (A Filesystem Recovery Tool) for å gjenopprette slettede filer/mapper i Linux
Mange ganger skjer det at vi ved et uhell eller ved en feil trykker «shift + delete» til filer. Av menneskelig natur har du en vane med å bruke «shift + Del» i stedet for å bare bruke «Slett»-alternativet. Jeg hadde faktisk denne hendelsen for noen dager siden. Jeg jobbet med et prosjekt og lagret arbeidsfilen min i en katalog. Det var mange uønskede filer i den katalogen og må slettes permanent. Så jeg begynte å slette dem én etter én. Mens jeg slettet disse filene, trykket jeg ved et uhell «shift delete» til en av mine viktige filer. Filen ble slettet permanent fra katalogen min. Jeg lurte på hvordan jeg skulle gjenopprette slettede filer og hadde ingen anelse om hva jeg skulle gjøre. Jeg brukte nesten mye tid på å gjenopprette filen, men uten hell.
Da jeg hadde litt teknisk kunnskap, visste jeg hvordan filsystemet og HDD fungerer. Når du sletter en fil ved et uhell, blir ikke innholdet i filen slettet fra datamaskinen din. Den er nettopp fjernet fra databasemappen og du kan ikke se filen i katalogen, men den forblir fortsatt et sted på harddisken din. I utgangspunktet har systemet en listepeker til blokker på lagringsenheten som fortsatt har dataene. Dataene slettes ikke fra blokklagringsenheten med mindre og før du overskriver med en ny fil. På dette synspunktet ga jeg ut at den slettede filen min fortsatt kan forbli et sted i et uindeksert område på harddisken. Det anbefales imidlertid å umiddelbart avmontere en enhet så snart du innser at du har slettet en viktig fil. Unmount hjelper deg med å forhindre at de blokkerte filene overskrives med ny fil.
I dette scenariet ønsket jeg ikke å overskrive disse dataene, derfor foretrakk jeg å søke på harddisken uten å montere den.
Normalt i Windows får vi tonnevis av tredjepartsverktøy for å gjenopprette tapte data, men i Linux er det bare noen få. Men jeg bruker Ubuntu som et operativsystem, og det er veldig vanskelig å finne et verktøy som gjenoppretter tapt fil. I løpet av min forskning ble jeg kjent med «Scalpel», et verktøy som kjører gjennom hele harddisken og gjenoppretter en tapt fil. Jeg installerte og gjenopprettet den tapte filen min ved hjelp av Scalpel-verktøyet. Det er virkelig fantastisk verktøy må jeg si.
Dette kan også skje med deg. Så jeg tenkte å dele min erfaring med deg. I denne artikkelen vil jeg vise deg hvordan du gjenoppretter slettede filer ved hjelp av skalpellverktøy. Så her går vi.
Hva er skalpellverktøy?
Scalpel er en åpen kildekode-filsystemgjenoppretting for Linux og Mac-operativsystemer. Verktøyet besøker blokkdatabaselagringen og identifiserer de slettede filene fra den og gjenoppretter dem umiddelbart. Bortsett fra filgjenoppretting er det også nyttig for digital etterforskning.
Hvordan installere skalpell i Debian/Ubuntu og Linux Mint
For å installere Scalpel, åpne terminalen ved å gjøre «CTrl+Alt+T» fra skrivebordet og kjør følgende kommando.
sudo apt-get install scalpelEksempelutgang
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$Installere Skalpell i RHEL/CentOS og Fedora
For å installere skalpellgjenopprettingsverktøy, må du først aktivere epel-repository. Når den er aktivert, kan du gjøre «nam» for å installere den som vist.
yum install scalpelEksempelutgang
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.01link.hk
* epel: mirror.nus.edu.sg
* epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
==========================================================================================================================================================
Package Arch Version Repository Size
==========================================================================================================================================================
Installing:
scalpel i686 2.0-1.el6 epel 50 k
Transaction Summary
==========================================================================================================================================================
Install 1 Package(s)
Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm | 50 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : scalpel-2.0-1.el6.i686 1/1
Verifying : scalpel-2.0-1.el6.i686 1/1
Installed:
scalpel.i686 0:2.0-1.el6
Complete!Når skalpellen er installert, må du gjøre tekstredigering. Som standard har skalpellverktøyet sin egen konfigurasjonsfil i '/etc'-katalogen og full bane er «/etc/scalpel/scalpel.conf» eller «/etc /scalpel.conf“. Du kan legge merke til at alt er kommentert ut (#). Så før du kjører skalpell, må du fjerne kommentarene til filformatet du trenger for å gjenopprette. Imidlertid er det tidkrevende å fjerne kommentarene for hele filen og vil generere store falske resultater.
La oss for eksempel si at jeg bare vil gjenopprette «.jpg»-filer, så bare avkommenter «.jpg»-fildelen for skalpellkonfigurasjonsfilen.
GIF and JPG files (very common)
gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9Gå til terminal og skriv følgende syntaks. «/dev/sda1» er en plassering av en enhet hvor filen allerede er slettet.
sudo scalpel /dev/sda1-o output«-o»-bryteren indikerer en utdatakatalog der du vil gjenopprette dine slettede filer. Sørg for at denne katalogen er tom før du kjører en kommando, ellers vil det gi deg en feil. Utgangen av kommandoen ovenfor er.
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target "/dev/sda1"
Image file pass 1/2.
/dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETASom du ser, utfører skalpellen nå prosessen, og det vil ta tid å gjenopprette den slettede filen, avhengig av diskplassen du prøver å skanne og hastigheten til maskinen.
Jeg vil anbefale dere alle å ha en vane med å bare bruke delete i stedet for "Shift + Delete". For som sagt er forebygging alltid bedre enn kur.