Пакет софта для восстановления данных в линукс. Ubuntu: восстановление удаленных файлов. Что может R-Linux

Иногда так случается, что мы удаляем, как казалось бы ненужные файлы (изображения, видео, текстовые документы и пр.), а потом вдруг сожалеем об этом, т.к. среди удалённых, оказались нужные. Хорошо если мы удаляем файлы в Корзину , откуда очень просто восстановить, нажав сочетание клавиш Ctrl+Z и тогда все файлы, что находятся в Корзине будут восстановлены по своим прежним папкам или можно выборочно, кликнув правой кнопкой на нужный файл в Корзине и в контекстном меню - Восстановить .

Но что делать когда мы удалили фалы функцией - Удалить безвозвратно ? Многие считают, что данные утеряны безвозвратно. Но это не так. В этом случае нам поможет консольная утилита Scalpel .

Scalpel — простое высокодейственное средство восстановления файлов.
Scalpel — это средство быстрого восстановления файлов, которое читая из базы данных начало и конец файлов известных форматов, пытается найти их на диске. Уникальность данного ПО заключается в том, что оно не зависит от файловой системы. Поэтому, восстановление возможно как с FATx, NTFS, ext2/3 , так и с "голых" (raw) разделов . Инструмент может использоваться как для цифрового поиска информации, так и для восстановления файлов.

Scalpel есть в репозиториях практически всех дистрибутивах Linux . В Ubuntu и производных вы можете установить его из Центра приложений или выполнить команду в терминале на установку:

sudo apt-get install scalpel

После установки вы не найдёте в системном меню Scalpel , т.к. я упоминал выше, этот инструмент запускается из терминала определённой командой. Но прежде чем запустить команду на поиск безвозвратно удалённых файлов, вы должны в конфигурационном файле scalpel.conf раскомментировать строку (убрать знак решётки) с расширением нужного файла (Все типы файлов "по умолчанию" закомментированы). Выполните команду в терминале на открытие конфигурационного файла scalpel.conf:

sudo gedit /etc/scalpel/scalpel.conf

Примечание . В команде gedit (Ubuntu; Linux Mint Cinnamon) измените на название текстового редактора своего дистрибутива, установленного по умолчанию.

Для примера я выбрал поиск потерянных файлов изображений c расширением JPG и раскомментировал данную строку в открывшемся редакторе с файлом scalpel.conf :

И вот теперь нужно выполнить терминальную команду с инструментом
scalpel для поиска утраченных файлов:

sudo scalpel /dev/sda8 -o /home/vladimir /JPG /output/

sda8 - это раздел на ж/диске моей актуальной системы. Чтобы вам определить свой раздел и изменить его в команде, выполните команду:

/home/vladimir - это имя моей Домашней папки . Измените vladimir на своё.

/JPG - это название папки в команде, которая будет создана а вашей Домашней папке , куда будут сохранены все восстановленные файлы, которое вы также можете изменить на своё.

Итак, выполняем команду и ждём окончания восстановления:

По окончании восстановления, откройте Домашнюю папку с правами администратора:

sudo nautilus

Вместо nautilus укажите название файлового менеджера своего дистрбутива (например: Linux Mint - nemo или сaja ; и т.п.).

Заключение. Хотелось бы заметить, что инструмент scalpel находит все файлы с указанным расширением, даже те, что были раньше на этом разделе, когда на нём когда-то были установлены другие операционные системы. Данная утилита также используется спецслужбами разных стран для поиска компромата пользователя компьютером в случае необходимости. Так что чем бы мы не удаляли файлы безвозвратно, они всё-равно оставляют свой след на ж/диске.

Только физическое уничтожение ж/диска избавит пользователя компьютером от компрометирующих файлов .

Если PhotoRec не принесла результатов, то попробуйте другие инструменты.

Использование Scalpel

Scalpel - это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований.

Установка Scalpel в Ubuntu, Linux Mint и Debian

Откройте терминал и скопируйте в него команду:

Sudo apt-get install scalpel

После завершения установки scalpel, вам нужно найти файл scalpel.conf :

Locate scalpel.conf

Обычно он размещается в /etc/scalpel/scalpel.conf или /etc/scalpel.conf. Откройте этот файл текстовым редактором, вы увидите, что все строки закомментированы (начинаются с # ). Т.е. перед запуском scalpel вам нужно раскомментировать форматы файлов, которые вы хотите восстановить. Если раскомментировать весь файл, то потребуется много времени и появится много ложных результатов.

Допустим, я хочу восстановить только файлы.jpg, тогда я просто раскомментирую секцию jpg в конфигурационном файле scalpel.

# GIF and JPG files (very common) gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9

В командной строке вам нужно указать расположение удалённых файлов, которые вы пытаетесь восстановить (в данном примере это /dev/sda1 ):

Sudo scalpel /dev/sda1-o output

Переключатель -o указывает на директорию вывода, где вы хотите сохранить ваши восстановленные файлы. Перед запуском программы убедитесь, что это директория является пустой, в противном случае вы получите ошибку. Вывод команды:

Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/dev/sda1" Image file pass 1/2. /dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA

Как вы видите, теперь scalpel выполняет свои действия, процесс восстановления удалённых файлов занимает время, которое зависит от объёма диска, который вы сканируете, и от скоросоти машины.

Использование extundelete

Использование foremost

Удалён файл, открытый в программе

Если вы считаете, что удалённый файл ещё открыт в какой-то программе (например, фильм, который в настоящий момент проигрывается медиа плеером) и вы знаете имя файла, но для начала попробуйте эту процедуру:

Lsof|grep "путь/до/файла" progname 5559 user 22r REG 8,5 1282410 1294349 /path/to/file

Запоминаем номер во втором столбце, это 5559, и номер в четвёртой колонке, это 22. Тогда команда восстановления:

Cp /proc/5559/fd/22 restored.file

Если этот трюк не дал результата, то немедленно размонтируйте файловую систему с удалённым файлом или переведите её в режим только чтения.

Иногда мы сожалеем о поспешно принятых нами решениях. Касается это и удаления файлов. Тем более что мы можем стереть их и вовсе без принятия решения, случайно. В Windows для такого случая есть корзина . Убунту не обладает этим инструментом, однако пользователь может другими способами восстановить утерянные данные, иногда даже в существенно большем объёме. Главное, в нужный момент знать, как восстановить удалённые файлы в Ubuntu.

Благодаря функционалу программного обеспечения можно восстановить файлы на Ubuntu.

Если случилось так, что вы удалили не тот документ, видео или целую папку, то восстанавливать это необходимо немедленно, сразу как только вы это осознали. Вам непонятно, к чему такая поспешность? Узнаете чуть позже, а пока нам надо очень быстро вернуть обратно потерянные файлы. Помогут в этом различные утилиты.

Не самая эффективная из всех программ по восстановлению данных. Но прибегнуть к ней смогут многие, так как она часто устанавливается на Ubuntu и проста в управлении. Установить её также очень легко:

sudo apt-get install gparted

Запускаем GParted с расширенными правами:

Находим раздел диска, с которого была удалена важная информация, открываем его.

Теперь кликаем по кнопке «Устройство» в верхнем меню и выбираем «Попробовать восстановить данные».

Вероятность успеха операции не так уж велика. Однако если вы сделали это вскоре после очистки нужного файла, есть возможность вернуть всё назад.

TestDisk уже больше подходит для того, чтобы заниматься восстановлением удалённых файлов на Ubuntu. Утилита обладает широким функционалом, и эта процедура - лишь одно из действий. Управляется всё через текстовый интерфейс, что, конечно, не очень удобно для новичков.

Сначала устанавливаем TestDisk:

sudo apt install testdisk

Запускаем программу:

• Выбираем из трёх возможных вариантов и жмём Ввод.
• Выбираем диск, с которого и нужно восстановить удалённые файлы.
• Выбираем таблицу разделов. Как видим, здесь их несколько, последние (Mac, Xbox, Sun) не очень нам подходят. Чаще всего это
• Выбираем пункт Advanced в следующем окне.
• Теперь выбираем раздел и кнопку list внизу.
• Нам выведутся все файлы, которые были удалены за последнее время, причём даже с названием и датой удаления.
• При помощи кнопки «C» мы можем скопировать файлы, которые хотим восстановить.

Эта утилита позволяет быстро восстановить конкретный файл, причём обладать серьёзными знаниями, даже знанием команд, не требуется. Однако не всегда есть возможность восстановить отображаемые там файлы, если они были перезаписаны.

PhotoRec чуть более, чем полностью специализируется на восстановлении файлов. С этой программой нельзя, как с предыдущей, выборочно восстанавливать нужные документы. Однако при помощи неё можно вернуть назад практически всё что угодно, даже информацию с повреждённых секторов , поскольку PhotoRec смотрит на исходные данные, не обращая внимания на сведения, предоставляемые файловой системой.

Устанавливаем программу:

sudo apt install photorec

Запускаем:

• Вновь выбираем диск, с которым будем работать.
• Открываем нужный диск, а затем в следующем окне файловую систему. В случае с Убунту это будет первый вариант.
• Выберите способ сканирования. Всего их два: весь раздел либо только неразмеченное пространство. Нас будет интересовать весь раздел.
• После в том же окне выбираем папку , куда сохранится весь результат сканирования.
• Ждём завершения процесса.

PhotoRec обычно восстанавливает сразу кучу различного хлама. Причём хлам этот часто без наименования, поэтому сложно найти именно то, что нужно вам. Однако же, как правило, пользователи получают доступ к важным удалённым файлам при помощи этой утилиты.

Safecopy

Это не такой мощный инструмент, но пользоваться им ещё проще. Программа не восстанавливает данные подобным методом. Она просто копирует файлы с повреждённых носителей на целые. В таком ключе её удобно использовать с нерабочими флешками или съёмными дисками. Вообще, спектр возможностей Safecopy довольно широк, и восстановление файлов явно не самая сильная её сторона.

Загружаем утилиту на компьютер:

sudo apt install safecopy

Переносим данные с повреждённого носителя:

sudo safecopy /dev/sda /home/

При помощи этой команды мы перенесём данные с раздела dev/sda в home. Способ подходит скорее не тем, кто случайно что-то стёр, а тем, чьи файлы повреждены.

А вот эта программа уже навряд ли уступит всем предыдущим. По заверениям некоторых пользователей и разработчиков она, вообще, является одной из самых мощных в своём роде и позволяет вернуть обратно информацию, которая была удалена давно и перезаписана. Для некоторых это будет последняя надежда. Программа есть не только на системах Linux , но и на Виндовс.

Устанавливаем Scalpel:

sudo apt-get install scalpel

Открываем конфигурационный файл утилиты:

sudo gedit /etc/scalpel/scalpel.conf

Вместо gedit можно использовать nano, если этот редактор стоит у вас по умолчанию.

Теперь здесь нужно найти строку, которая содержит формат того файла, который мы ищем. Например, это png. Находим png и удаляем решётку (#) в начале строки. Это действие называется «раскомментировать».

Сохраняем файл и закрываем редактор.

Запускаем команду для поиска утраченных данных:

sudo scalpel /dev/sda1 -o /home/png/

sda1 - раздел, в котором мы ищем, home/png - раздел, куда всё будет скопировано.

Процесс запустился. Занять он может несколько часов. По завершении откройте Nautilus и с помощью него ту папку, в которую сохранялись файлы. Там вы, скорее всего, найдёте ещё больше мусора, чем после PhotoRec, но среди него и нужные вам файлы.

Немного теории

Так почему же делать всё необходимо так быстро? Причина заключается в том, что, когда мы удаляем какой-то файл, в какой бы системе это ни выполнялось, мы удаляем только подобие ссылки на него. При помощи такой ссылки к нему обращаются программы, получая доступ к тому, что находится на жёстком диске. Однако каждый раз удалять файл по просьбе пользователя с HDD будет очень неудобно и затратно в плане времени и энергии. Гораздо проще пометить эту область на диске как ненужную и перезаписать, когда потребуется новое место. Поэтому чем быстрее мы всё делаем, тем меньше шансов, что область эта уже была перезаписана.

Программы, которые были приведены выше, реализуют разные способы извлечения стёртой информации. Последняя, если верить пользователям, используется даже спецслужбами. Им, кстати, вообще не составит труда «вернуть с того света» любые данные при помощи остаточного магнитного следа на диске. Но для этого обычно требуется специальная дорогостоящая аппаратура, а не просто утилита.

Если вы столкнулись с проблемой утери важных файлов, не стоит сразу же отчаиваться. Большое количество различного софта позволяет вернуть назад требуемую информацию после случайного удаления. В любом случае действуйте с важными документами на компьютере аккуратно: делайте копии, думайте, прежде чем удалять. Хотя, конечно, это и так всем известно.

Когда файл удаляется или диск форматируется, на самом деле файлы остаются на месте. Удаляется лишь информация о том, где находятся эти файлы на диске. При удалении файла с диска, можно провести аналогию с номерами домов. Если убрать табличку с названием улицы и номером дома, то дом будет намного сложнее найти, и при этом он же не исчезнет с лица земли. Так что восстановить удаленные файлы с диска можно почти всегда на 100%, если те места, где находится информация не перезаписалась.

Программа TestDisk может восстановить некоторые удаленные файлы с диска довольно быстро. Это не такая мощная утилита, как PhotoRec, но она быстрее найдет файлы и сохранит их имена. Эту утилиту TestDisk Вы найдете в репозитории вашего дистрибутива Linuх. Напомню, что её можно выудить из менеджера программ или установить командой с терминала.

В Ubuntu и его производных:

Sudo apt-get install testdisk

Также данная программа существует как для Windows, так и для MacOS. Установочные пакеты можно найти на сайте производителя www.cgsecurity.org/wiki/TestDisk_Download. Существуют готовые загрузочные образы в виде ISO для записи на CD или USB флешки www.cgsecurity.org/wiki/TestDisk_Livecd.

При открытии TestDisk вам будет предложено создать новый файл журнала, просто нажмите ввод, чтобы принять это.

Команда для вызова программы в терминале Linux:

Выберете нужный диск с помощью клавиш со стрелками и нажмите Enter.

В следующем меню выберите и нажмите ввод.

Затем выберите Расширенный

Если у вас имеется более одного раздела, то вы должны будете выбрать его стрелками вверх / вниз. Скорее всего, Вам нужен, тот раздел, который имеет наибольшее количество секторов.

Вы увидите длинный список файлов, которые вы можете попытаться восстановить (обратите внимание, что не все из них могут быть восстановлены). Вы можете пролистать список с помощью клавиш со стрелками вверх / вниз, а также Page Up и Page Down. Если имя файла, не влезает в окно терминала, то вы можете развернуть это окно.

Если вам не удалось найти нужный Вам файл, который был удален, то попробуйте . PhotoRec является более мощной программой для восстановления, она восстановит все удаленные файлы, но не сохранит прежние имена. Восстановленные файлы программа именует сама, цифрами, по мере восстановления.

А если вы нашли потерянный файл в программе TestDisk, тогда нажмите клавишу С на клавиатуре, затем TestDisk спросит вас, куда восстановить данный файл, нажмите Enter и выбранный файл восстановиться. TestDisk вернет вас обратно в список файлов для восстановления.

После того как вы восстановили ваши файлы, можете закрыть окно программы.

TestDisk может попытаться повторить структуру каталогов, так что вы можете найти ваш файл в несколько вложенных папках.

Пришел ко мне знакомый с такой проблемой: Нужно восстановить удаленные файлы с флэш-карты фотоаппарта. Работаю я в магазине по продаже и настройке компьютеров и естественно, что там у нас только Windows. Была у меня в запасе одна безотказная программа, которая выручала меня, и не только, не один раз — Zero Assumption Recovery. Хорошая программа на самом деле, но платная и для винды. Одним словом сканировала она 4 гиговую флэшку часа 2-3, кое-что нашла. Попытался восстановить, но в итоге в восстанавливаемой папке ничего не оказалось. Для меня это был шок! Такое с этой прогой было впервые. Решил попытаться поколдовать с картой памяти дома, но уже на родной Убунту 11.10.

Для этого я вызвал программу для восстановления именно с карт памяти или флэшек под названием PhotoRec из пакета TestDisk. Если программа не установлена, то устанавливаем:

sudo apt-get install testdisk

Теперь, не закрывая Терминал, вызываем программу командой

и вводим пароль пользователя

Далее перед нами откроются всевозможные подключенные диски на нашем компьютере. Нужная мне флэшка была третья. Стрелками вверх или вниз, вправо или влево мы будем передвигаться по Терминалу. Выделяем нужный диск/карту/флэшку, в нашем случае UDF 2.0 Silicon-Power 8G и жмем Enter.

Если нужно восстановить все файлы, то жмем Enter, а если нужно восстановить файлы одного или нескольких типов, то стрелкой Вправо переходим на пункт File Opt и далее жмем Enter.

По умолчанию все типы файлов выделены для поиска и восстановления. Буквой S снимаем все выделения. Стрелками Вверх и Вниз ищем нужный тип файлов и выделяем кнопкой Пробел. Жмем Enter.

В нижнем меню переходим на пункт Search.

Выбираем пункт FAT32. Жмем Enter. Из всех вариантов выбираем Other , т.к. наша флешка имеет файловую систему FAT32.

Если выбрать пункт FREE, то поиск будет произведен в пустом пространстве и в этом случае будут восстановлены только удаленные файлы, а если выбрать WHOLE, то поиск будет произведен на всей поверхности флешки или диска.

Теперь нужно указать директорию, куда будем сохранять нужные нам файлы. Выбираем нужную папку и естественно жмем Enter.