Installer Scalpel (et filsystemgendannelsesværktøj) for at gendanne slettede filer/mapper i Linux
Mange gange sker det, at vi ved et uheld eller ved en fejlagtig tryk på 'skift + slet' til filer. Af menneskelig natur har du en vane med at bruge 'shift + Del' i stedet for kun at bruge 'Delete'. Jeg havde faktisk denne hændelse for få dage tilbage. Jeg arbejdede på et projekt og gemte min arbejdsfil i et bibliotek. Der var mange uønskede filer i denne mappe og skal slettes permanent. Så jeg begyndte at slette dem en efter en. Mens jeg slettede disse filer, trykkede jeg ved et uheld på 'shift delete' til en af mine vigtige filer. Filen blev slettet permanent fra min bibliotek. Jeg spekulerede på, hvordan jeg gendannede slettede filer og havde ingen anelse om, hvad jeg skulle gøre. Jeg brugte næsten meget tid på at gendanne filen, men ikke held.
At kende lidt teknisk viden vidste jeg om, hvordan filsystem og HDD fungerer. Når du sletter en fil ved et uheld, slettes indholdet af filen ikke fra din computer. Det er lige fjernet fra databasemappen, og du kan ikke se filen i biblioteket, men den forbliver stadig et eller andet sted på din harddisk. Grundlæggende har systemet en listepeger til blokke på lagerenheden, der stadig har dataene. Dataene slettes ikke fra bloklagerenheden, medmindre og indtil du overskriver med en ny fil. På dette synspunkt frigav jeg, at min slettede fil stadig kan forblive et eller andet sted i et ikke-indekseret område på harddisken. Det anbefales dog straks at afmontere en enhed, så snart du er klar over, at du har slettet en vigtig fil. Unmount hjælper dig med at forhindre, at de blokerede filer overskrives med en ny fil.
I dette scenario ville jeg ikke overskrive disse data, og derfor foretrak jeg at søge på harddisken uden at montere dem.
Normalt i Windows får vi masser af tredjepartsværktøjer til gendannelse af mistede data, men i Linux kun få. Dog bruger jeg Ubuntu som et operativsystem, og det er meget vanskeligt at finde et værktøj, der gendanner mistet fil. Under min forskning fik jeg at vide om 'Scalpel' et værktøj, der løber gennem hele harddisken og gendanner en mistet fil. Jeg installerede og gendannede min mistede fil med succes ved hjælp af Scalpel-værktøjet. Det er virkelig et fantastisk værktøj, må jeg sige.
Dette kan også ske med dig også. Så jeg tænkte på at dele min oplevelse med dig. I denne artikel vil jeg vise dig, hvordan du gendanner slettede filer ved hjælp af skalpelværktøj. Så her går vi.
Hvad er Scalpel Tool?
Scalpel er en open source filsystemgendannelse til Linux- og Mac-operativsystemer. Værktøjet besøger blokdatabaselagring og identificerer de slettede filer fra det og gendanner dem med det samme. Bortset fra filgendannelse er det også nyttigt til digital efterforskning.
Sådan installeres Scalpel i Debian/Ubuntu og Linux Mint
For at installere Scalpel skal du åbne terminalen ved at udføre "CTrl + Alt + T" fra skrivebordet og køre følgende kommando.
$ sudo apt-get install scalpel
Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: scalpel 0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded. Need to get 0 B/33.9 kB of archives. After this operation, 118 kB of additional disk space will be used. Selecting previously unselected package scalpel. (Reading database ... 151082 files and directories currently installed.) Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ... Processing triggers for man-db ... Setting up scalpel (1.60-1build1) ... [email :~$
Installation af skalpel i RHEL/CentOS og Fedora
For at installere skalpel-gendannelsesværktøj skal du først aktivere epel-lageret. Når det er aktiveret, kan du gøre 'yum' for at installere det som vist.
# yum install scalpel
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: centos.01link.hk * epel: mirror.nus.edu.sg * epel-source: mirror.nus.edu.sg Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package scalpel.i686 0:2.0-1.el6 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================================== Installing: scalpel i686 2.0-1.el6 epel 50 k Transaction Summary ========================================================================================================================================================== Install 1 Package(s) Total download size: 50 k Installed size: 108 k Is this ok [y/N]: y Downloading Packages: scalpel-2.0-1.el6.i686.rpm | 50 kB 00:00 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Installing : scalpel-2.0-1.el6.i686 1/1 Verifying : scalpel-2.0-1.el6.i686 1/1 Installed: scalpel.i686 0:2.0-1.el6 Complete!
Når skalpel er installeret, skal du udføre tekstredigering. Som standard har skalpelværktøjet sin egen konfigurationsfil i mappen ‘/ etc’, og den fulde sti er “/etc/scalpel/scalpel.conf” eller “/etc/scalpel.conf“. Du kan bemærke, at alt er kommenteret (#). Så inden du kører skalpel, skal du fjerne kommentar til det filformat, du skal gendanne. Ukommentarer er dog hele tiden tidskrævende og genererer enorme falske resultater.
Lad os f.eks. Sige, at jeg kun vil gendanne '.jpg' -filer, så fjern kun kommentar til '.jpg' filafsnittet til skalpelkonfigurationsfilen.
# GIF and JPG files (very common)
gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9Gå til terminalen og skriv følgende syntaks. '/ Dev/sda1' er en placering af en enhed, hvorfra filen allerede er slettet.
$ sudo scalpel /dev/sda1-o output
'-O' -kontakten angiver en outputmappe, hvor du vil gendanne dine slettede filer. Sørg for, at denne mappe er tom, før du kører en kommando, ellers giver det dig en fejl. Outputtet fra ovenstående kommando er.
Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/dev/sda1" Image file pass 1/2. /dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA
Som du ser, udfører skalpellen nu sin proces, og det tager tid at gendanne din slettede fil afhængigt af den diskplads, du prøver at scanne og maskinens hastighed.
Jeg vil anbefale jer alle at have en vane med kun at bruge slette i stedet for “Skift + Slet”. For som sagt er forebyggelse altid bedre end helbredelse.