الصفحة الرئيسية » howto » استعادة البيانات مثل خبير الطب الشرعي باستخدام قرص Ubuntu Live CD

    استعادة البيانات مثل خبير الطب الشرعي باستخدام قرص Ubuntu Live CD

    هناك الكثير من الأدوات المساعدة لاستعادة الملفات المحذوفة ، ولكن ماذا لو لم يكن بإمكانك تشغيل جهاز الكمبيوتر الخاص بك ، أم أنه تمت تهيئة محرك الأقراص بالكامل؟ سوف نعرض لك بعض الأدوات التي سوف تحفر عميقًا وتستعيد أكثر الملفات المحذوفة ، أو حتى أقسام القرص الصلب بالكامل.

    لقد أظهرنا لك طرقًا بسيطة لاسترداد الملفات المحذوفة عن طريق الخطأ ، حتى بطريقة بسيطة يمكن تنفيذها من قرص مضغوط من Ubuntu Live ، ولكن بالنسبة للأقراص الثابتة التي تعرضت للتلف الشديد ، فإن هذه الأساليب لن تقطعها. في هذه المقالة ، سنقوم بفحص أربعة أدوات يمكنها استرداد البيانات من محركات الأقراص الثابتة الأكثر فوضى ، بغض النظر عما إذا كانت قد تمت تهيئتها على كمبيوتر يعمل بنظام التشغيل Windows أو Linux أو Mac ، أو حتى إذا تم مسح جدول الأقسام بالكامل.

    ملاحظة: لا يمكن لهذه الأدوات استعادة البيانات التي تم استبدالها على القرص الثابت. يعتمد ما إذا كان الملف المحذوف قد تم استبداله على العديد من العوامل - كلما أدركت أسرع أنك تريد استرداد ملف ، كلما زادت إمكانية القيام بذلك.

    الإعداد لدينا

    لإظهار هذه الأدوات ، قمنا بإعداد محرك أقراص صلبة بسعة 1 غيغابايت ، مع نصف المساحة المقسمة على هيئة ext2 ، ونظام الملفات المستخدم في Linux ، ونصف المساحة المقسمة على هيئة FAT32 ، وهو نظام ملفات مستخدم في أنظمة Windows القديمة. قمنا بتخزين عشر صور عشوائية على كل قرص صلب.

    ثم قمنا بمسح جدول الأقسام من القرص الصلب عن طريق حذف الأقسام في GParted.

    هل فقدت بياناتنا إلى الأبد?

    تثبيت الأدوات

    جميع الأدوات التي سنستخدمها موجودة في Ubuntu كون مستودع.

    لتمكين مستودع التخزين ، افتح Synaptic Package Manager بالنقر على System in the top-left ، ثم Administration> Synaptic Package Manager.

    انقر فوق الإعدادات> المستودعات وأضف شيكًا في المربع المسمى "برنامج مفتوح المصدر يعتمد على المجتمع (الكون)".

    انقر فوق إغلاق ، ثم في إطار Synaptic Package Manager الرئيسي ، انقر فوق الزر إعادة تحميل. بمجرد إعادة تحميل قائمة الحزمة وإعادة إنشاء فهرس البحث ، ابحث عن أحد الحزم التالية أو ضع علامة عليها للتثبيت: testdisk, أول, و مشرط.

    Testdisk يتضمن TestDisk ، الذي يمكنه استرداد الأقسام المفقودة وإصلاح قطاعات التمهيد ، و PhotoRec ، والتي يمكنها استرداد العديد من أنواع الملفات المختلفة من أطنان من أنظمة الملفات المختلفة.

    أول, وضعت أصلا من قبل مكتب القوات الجوية الأمريكية للتحقيقات الخاصة ، يستعيد الملفات على أساس رؤوسهم والهياكل الداخلية الأخرى. قبل كل شيء تعمل على محركات الأقراص الصلبة أو قيادة ملفات الصور التي تم إنشاؤها بواسطة أدوات مختلفة.

    أخيرا, مشرط ينفذ نفس الوظائف في المقام الأول ، لكنه يركز على الأداء المحسن وانخفاض استخدام الذاكرة. قد يتم تشغيل مشرط بشكل أفضل إذا كان لديك جهاز قديم مع ذاكرة وصول عشوائي أقل.

    استعادة أقسام القرص الصلب

    إذا لم تتمكن من تحميل محرك الأقراص الثابت ، فقد يكون جدول الأقسام الخاص به تالفًا. قبل البدء في محاولة استعادة ملفاتك الهامة ، قد يكون من الممكن استرداد قسم واحد أو أكثر على محرك الأقراص الخاص بك ، واستعادة جميع ملفاتك بخطوة واحدة.

    Testdisk هي أداة لهذا المنصب. البدء من خلال فتح محطة (تطبيقات> الملحقات> الطرفية) وكتابة في:

    sudo testdisk

    إذا كنت تريد ، يمكنك إنشاء ملف سجل ، على الرغم من أنه لن يؤثر على مقدار البيانات التي تستردها. بمجرد اختيارك ، يتم الترحيب بك بقائمة بوسائط التخزين على جهازك. يجب أن تكون قادرًا على تحديد محرك الأقراص الثابت الذي ترغب في استرداد الأجزاء منه من خلال حجمه وتصنيفه.

    يطلب منك TestDisk تحديد نوع جدول الأقسام للبحث عنه. في معظم الحالات (ext2 / 3 ، و NTFS ، و FAT32 ، وما إلى ذلك) ، يجب عليك اختيار Intel والضغط على Enter.

    تسليط الضوء على تحليل واضغط على دخول.

    في حالتنا ، تم تنسيق محرك الأقراص الثابت الصغير مسبقًا بتنسيق NTFS. بشكل مثير للدهشة ، TestDisk يبحث عن هذا القسم ، على الرغم من أنه غير قادر على استردادها.

    يجد أيضًا القسمين اللذين قمنا بحذفهما. نحن قادرون على تغيير سماتهم ، أو إضافة المزيد من الأقسام ، ولكن سنقوم باستعادتها فقط بالضغط على Enter.

    إذا لم تعثر TestDisk على جميع أقسامك ، يمكنك محاولة إجراء بحث أعمق عن طريق تحديد هذا الخيار بمفتاحي الأسهم الأيسر والأيمن. كان لدينا هذين القسمين فقط ، لذا سنقوم باستعادتها بتحديد الكتابة والضغط على Enter.

    يخبرنا Testdisk أنه سيتعين علينا إعادة التشغيل.

    ملاحظة: إذا لم يكن قرص Ubuntu Live مضغوطًا ، فعند إعادة التشغيل ، سيتعين عليك إعادة تثبيت أي أدوات قمت بتثبيتها مسبقًا.

    بعد إعادة التشغيل ، يعود كل من أقسامنا إلى حالتها الأصلية وصورها وجميعها.

    استعادة الملفات من أنواع معينة

    في الأمثلة التالية ، قمنا بحذف الصور العشرة من كلا القسمين ثم قمت بإعادة تنسيقها.

    من PhotoRec

    من الأدوات الثلاثة التي سنظهرها, من PhotoRec هو الأكثر سهولة في الاستخدام ، على الرغم من كونه أداة تستند إلى وحدة التحكم. لبدء استعادة الملفات ، افتح الطرفية (Applications> Accessories> Terminal) واكتب ما يلي:

    sudo photorec

    للبدء ، يطلب منك اختيار جهاز تخزين للبحث. يجب أن تكون قادرًا على تحديد الجهاز المناسب من خلال حجمه وتصنيفه. حدد الجهاز المناسب ، ثم اضغط على Enter.

    يطالبك PhotoRec بتحديد نوع القسم للبحث. في معظم الحالات (ext2 / 3 ، NTFS ، FAT ، إلخ) ، يجب عليك تحديد Intel والضغط على Enter.

    يتم منحك قائمة بالأقسام الموجودة على محرك الأقراص الثابت المحدد. إذا كنت ترغب في استرداد كافة الملفات الموجودة على أحد الأقسام ، فاختر البحث ثم اضغط على Enter.

    ومع ذلك ، يمكن أن تكون هذه العملية بطيئة للغاية ، وفي حالتنا نحن نريد فقط البحث عن ملفات الصور ، لذلك بدلاً من ذلك ، نستخدم مفتاح السهم الأيمن لتحديد File Opt واضغط على Enter.

    يمكن لـ PhotoRec استرداد العديد من أنواع الملفات المختلفة ، وسيتطلب إلغاء تحديد كل ملف وقتًا طويلاً. بدلاً من ذلك ، نضغط على "s" لمسح كل التحديدات ، ثم البحث عن أنواع الملفات المناسبة - jpg و gif و png - وتحديدها بالضغط على مفتاح السهم الأيمن.

    بمجرد اختيار هؤلاء الثلاثة ، نضغط على "b" لحفظ هذه الاختيارات.

    اضغط على Enter للرجوع إلى قائمة أقسام محرك الأقراص الثابتة. نريد البحث في كلٍّ من الأقسام الخاصة بنا ، لذا سنسلط الضوء على "لا يوجد قسم" و "بحث" ، ثم اضغط على Enter.

    يطالبك PhotoRec موقع لتخزين الملفات المستردة. إذا كان لديك محرك أقراص ثابت صحي مختلف ، فنحن نوصي بتخزين الملفات المستردة هناك. نظرًا لأننا لا نتعافى كثيرًا ، فسنقوم بتخزينه على سطح مكتب Ubuntu Live CD.

    ملاحظة: لا تقم باستعادة الملفات إلى القرص الصلب الذي تستعيد منه.

    PhotoRec قادر على استعادة 20 صورة من الأقسام الموجودة على القرص الصلب!

    نظرة سريعة في الدليل recup_dir.1 الذي تقوم بإنشائه يؤكد أن PhotoRec قد استردت كل صورنا ، باستثناء أسماء الملفات.

    أول

    في المقام الأول هو برنامج سطر الأوامر مع عدم وجود واجهة تفاعلية مثل PhotoRec ، لكنه يقدم عددا من خيارات سطر الأوامر للحصول على أكبر قدر من البيانات من محرك الأقراص الخاص بك ممكن.

    للحصول على قائمة كاملة بالخيارات التي يمكن تعديلها عبر سطر الأوامر ، افتح جهاز طرفي (Applications> Accessories> Terminal) واكتب ما يلي:

    قبل كل شيء - ح

    في حالتنا ، خيارات سطر الأوامر التي سنستخدمها هي:

    • -t ، قائمة مفصولة بفواصل لأنواع الملفات للبحث عنها. في حالتنا ، هذا هو "jpeg، png، gif".
    • -v ، تمكين وضع verbose ، يعطينا المزيد من المعلومات حول ما يقوم به قبل كل شيء.
    • -o ، مجلد الإخراج لتخزين الملفات المستردة فيه. في حالتنا ، أنشأنا دليلاً يسمى "قبل كل شيء" على سطح المكتب.
    • -ط ، المدخلات التي سيتم البحث عن الملفات. هذا يمكن أن يكون صورة قرص بعدة صيغ مختلفة؛ ومع ذلك ، سنستخدم القرص الثابت / dev / sda.

    استدعائنا قبل كل شيء هو:

    sudo foremost -t jpeg، png، gif -o beforeemost -v -i / dev / sda

    يختلف دعوتك بناءً على ما تبحث عنه وأين تبحث عنه.

    قبل كل شيء قادر على استرداد 17 من 20 الملفات المخزنة على القرص الصلب.

    بالنظر إلى الملفات ، يمكننا التأكد من أن هذه الملفات تم استردادها بشكل جيد نسبيًا ، على الرغم من أننا قد نرى بعض الأخطاء في الصورة المصغرة لـ 00622449.jpg.

    جزء من هذا قد يكون بسبب نظام الملفات ext2. يوصي قبل كل شيء باستخدام خيار سطر الأوامر -d لأنظمة الملفات لينكس مثل ext2.

    سنقوم بتشغيل كل شيء مرة أخرى ، مع إضافة خيار سطر الأوامر -d إلى طلبنا الأول:

    sudo foremost -t jpeg، png، gif -d -o beforeemost -v -i / dev / sda

    هذه المرة ، في مقدورها استعادة جميع الصور العشرين!

    تكشف نظرة أخيرة على الصور أن الصور تم استردادها دون أي مشاكل.

    مشرط

    مشرط هو برنامج قوي آخر ، مثل Foremost ، قابل للتكوين بشكل كبير. بخلاف Foremost ، يتطلب مشرط منك تحرير ملف تكوين قبل محاولة استعادة أي بيانات.

    سيعمل أي محرر نصوص ، ولكننا سنستخدم gedit لتغيير ملف التكوين. في نافذة طرفية (Applications> Accessories> Terminal) ، اكتب:

    sudo gedit /etc/scalpel/scalpel.conf

    يحتوي scalpel.conf على معلومات حول عدد من أنواع الملفات المختلفة. قم بالتمرير خلال هذا الملف وأسطر uncomment التي تبدأ بنوع ملف تريد استعادته (بمعنى إزالة الحرف "#" في بداية تلك السطور).

    احفظ الملف ثم اغلقه. العودة إلى نافذة المحطة.

    يحتوي المشرط أيضًا على الكثير من خيارات سطر الأوامر التي يمكن أن تساعدك في البحث بسرعة وفعالية ؛ ومع ذلك ، سنقوم فقط بتعريف جهاز الإدخال (/ dev / sda) ومجلد الإخراج (مجلد يسمى "مشرط" الذي أنشأناه على سطح المكتب).

    طلبنا هو:

    سودو مشرط / ديف / sda -o مشرط

    يستطيع Scalpel استرداد 18 من 20 ملفًا لدينا.

    نظرة سريعة على مشرط الملفات المستردة تكشف عن أن معظم ملفاتنا قد تم استردادها بنجاح ، على الرغم من وجود بعض المشاكل (على سبيل المثال ، 00000012.jpg).

    استنتاج

    في مثال لعبتنا السريعة ، كان TestDisk قادرًا على استعادة قسمين محذوفين ، واستطاع كل من PhotoRec و Foremost استعادة جميع الصور المحذوفة العشرين. قام المشرط باستعادة معظم الملفات ، ولكن من المحتمل جدا أن اللعب باستخدام خيارات سطر الأوامر للمشرط قد مكننا من استعادة جميع الصور العشرين.

    هذه الأدوات هي المنقذون عندما يحدث خطأ ما في القرص الصلب. إذا كانت بياناتك موجودة على محرك الأقراص الثابتة في مكان ما ، فستتتبعها إحدى هذه الأدوات!

    استعادة الملفات مع نسخ الظل على أي إصدار من ويندوز فيستا
    استعادة البيانات المفقودة في فايرفوكس
    تسجيل الفيديو من سطح المكتب الخاص بك على أي نظام التشغيل مجانا
    المادة التالية
    استرداد الملفات المحذوفة على محرك أقراص ثابت NTFS من قرص مضغوط Ubuntu Live
    المقال السابق
    تسجيل جلسات سطر الأوامر الخاصة بك مع أسينيما