Beranda » bagaimana » Pulihkan Data Seperti Pakar Forensik Menggunakan Ubuntu Live CD

    Pulihkan Data Seperti Pakar Forensik Menggunakan Ubuntu Live CD

    Ada banyak utilitas untuk memulihkan file yang dihapus, tetapi bagaimana jika Anda tidak dapat mem-boot komputer Anda, atau seluruh drive telah diformat? Kami akan menunjukkan kepada Anda beberapa alat yang akan menggali dalam dan memulihkan file terhapus yang paling sulit dipahami, atau bahkan seluruh partisi hard drive.

    Kami telah menunjukkan kepada Anda cara sederhana untuk memulihkan file yang terhapus secara tidak sengaja, bahkan metode sederhana yang dapat dilakukan dari Ubuntu Live CD, tetapi untuk hard disk yang sangat rusak, metode itu tidak akan memotongnya. Pada artikel ini, kita akan memeriksa empat alat yang dapat memulihkan data dari hard drive yang paling kacau, terlepas dari apakah mereka diformat untuk komputer Windows, Linux, atau Mac, atau bahkan jika tabel partisi dihapus seluruhnya.

    Catatan: Alat-alat ini tidak dapat memulihkan data yang telah ditimpa pada hard disk. Apakah file yang dihapus telah ditimpa tergantung pada banyak faktor - semakin cepat Anda menyadari bahwa Anda ingin memulihkan file, semakin besar kemungkinan Anda dapat melakukannya.

    Pengaturan kami

    Untuk menunjukkan alat-alat ini, kami telah menyiapkan hard drive 1 GB kecil, dengan setengah ruang dipartisi sebagai ext2, sistem file yang digunakan di Linux, dan setengah ruang dipartisi sebagai FAT32, sistem file yang digunakan dalam sistem Windows yang lebih lama. Kami menyimpan sepuluh gambar acak di setiap hard drive.

    Kami kemudian menghapus tabel partisi dari hard drive dengan menghapus partisi di GParted.

    Apakah data kami hilang selamanya?

    Menginstal alat

    Semua alat yang akan kita gunakan ada di Ubuntu alam semesta gudang.

    Untuk mengaktifkan repositori, buka Synaptic Package Manager dengan mengklik System di kiri atas, lalu Administration> Synaptic Package Manager.

    Klik Pengaturan> Repositori dan tambahkan tanda centang pada kotak berlabel “Perangkat Lunak Open Source yang dikelola komunitas (semesta)”.

    Klik Tutup, lalu di jendela utama Synaptic Package Manager, klik tombol Muat Ulang. Setelah daftar paket dimuat ulang, dan indeks pencarian dibangun kembali, cari dan tandai untuk instalasi satu atau semua paket berikut: testdisk, terutama, dan pisau bedah.

    Testdisk termasuk TestDisk, yang dapat memulihkan partisi yang hilang dan memperbaiki sektor boot, dan PhotoRec, yang dapat memulihkan berbagai jenis file dari berbagai sistem file yang berbeda.

    Terutama, awalnya dikembangkan oleh Kantor Investigasi Khusus Angkatan Udara AS, memulihkan file berdasarkan header dan struktur internal lainnya. Foremost beroperasi pada hard drive atau drive file gambar yang dihasilkan oleh berbagai alat.

    Akhirnya, pisau bedah melakukan fungsi yang sama seperti yang paling utama, tetapi berfokus pada peningkatan kinerja dan penggunaan memori yang lebih rendah. Scalpel dapat berjalan lebih baik jika Anda memiliki mesin yang lebih tua dengan RAM lebih sedikit.

    Pulihkan partisi hard drive

    Jika Anda tidak dapat memasang hard drive Anda, maka tabel partisi mungkin rusak. Sebelum Anda mulai mencoba memulihkan file penting Anda, dimungkinkan untuk memulihkan satu atau lebih partisi di drive Anda, memulihkan semua file Anda dengan satu langkah.

    Testdisk adalah alat untuk pekerjaan itu. Mulai dengan membuka terminal (Aplikasi> Aksesori> Terminal) dan ketikkan:

    sudo testdisk

    Jika mau, Anda dapat membuat file log, meskipun itu tidak akan memengaruhi seberapa banyak data yang Anda pulihkan. Setelah Anda menentukan pilihan, Anda akan disambut dengan daftar media penyimpanan di mesin Anda. Anda harus dapat mengidentifikasi hard drive yang Anda inginkan untuk memulihkan partisi berdasarkan ukuran dan labelnya.

    TestDisk meminta Anda memilih jenis tabel partisi yang akan dicari. Dalam kebanyakan kasus (ext2 / 3, NTFS, FAT32, dll.) Anda harus memilih Intel dan tekan Enter.

    Sorot Analisis dan tekan enter.

    Dalam kasus kami, hard drive kecil kami sebelumnya telah diformat sebagai NTFS. Hebatnya, TestDisk menemukan partisi ini, meskipun tidak dapat memulihkannya.

    Ia juga menemukan dua partisi yang baru saja kita hapus. Kami dapat mengubah atributnya, atau menambahkan lebih banyak partisi, tetapi kami hanya akan memulihkannya dengan menekan Enter.

    Jika TestDisk belum menemukan semua partisi Anda, Anda dapat mencoba melakukan pencarian yang lebih dalam dengan memilih opsi itu dengan tombol panah kiri dan kanan. Kami hanya memiliki dua partisi ini, jadi kami akan memulihkannya dengan memilih Tulis dan tekan Enter.

    Testdisk memberi tahu kami bahwa kami harus reboot.

    Catatan: Jika Ubuntu Live CD Anda tidak persisten, maka ketika Anda reboot Anda harus menginstal ulang semua alat yang Anda instal sebelumnya.

    Setelah memulai kembali, kedua partisi kami kembali ke keadaan semula, gambar, dan semuanya.

    Pulihkan file jenis tertentu

    Untuk contoh-contoh berikut, kami menghapus 10 gambar dari kedua partisi dan kemudian memformatnya kembali.

    PhotoRec

    Dari tiga alat yang akan kami tunjukkan, PhotoRec adalah yang paling ramah pengguna, meskipun merupakan utilitas berbasis konsol. Untuk mulai memulihkan file, buka terminal (Aplikasi> Aksesori> Terminal) dan ketik:

    sudo photorec

    Untuk memulai, Anda diminta memilih perangkat penyimpanan untuk dicari. Anda harus dapat mengidentifikasi perangkat yang tepat berdasarkan ukuran dan labelnya. Pilih perangkat yang tepat, lalu tekan Enter.

    PhotoRec meminta Anda memilih jenis partisi yang akan dicari. Dalam kebanyakan kasus (ext2 / 3, NTFS, FAT, dll.) Anda harus memilih Intel dan tekan Enter.

    Anda diberi daftar partisi pada hard drive yang Anda pilih. Jika Anda ingin memulihkan semua file di partisi, lalu pilih Cari dan tekan enter.

    Namun, proses ini bisa sangat lambat, dan dalam kasus kami, kami hanya ingin mencari file gambar, jadi alih-alih kami menggunakan tombol panah kanan untuk memilih File Opt dan tekan Enter.

    PhotoRec dapat memulihkan berbagai jenis file, dan membatalkan pilihan masing-masing akan memakan waktu lama. Sebagai gantinya, kami menekan "s" untuk menghapus semua pilihan, dan kemudian menemukan jenis file yang sesuai - jpg, gif, dan png - dan memilihnya dengan menekan tombol panah kanan.

    Setelah kami memilih ketiga ini, kami menekan "b" untuk menyimpan pilihan ini.

    Tekan enter untuk kembali ke daftar partisi hard drive. Kami ingin mencari kedua partisi kami, jadi kami sorot "Tanpa partisi" dan "Cari" lalu tekan Enter.

    PhotoRec meminta lokasi untuk menyimpan file yang dipulihkan. Jika Anda memiliki hard drive sehat yang berbeda, maka kami sarankan untuk menyimpan file yang dipulihkan di sana. Karena kami tidak banyak pulih, kami akan menyimpannya di desktop Ubuntu Live CD.

    Catatan: Jangan memulihkan file ke hard drive yang Anda pulihkan.

    PhotoRec dapat memulihkan 20 gambar dari partisi di hard drive kami!

    Sekilas di direktori recup_dir.1 yang dibuatnya mengkonfirmasi bahwa PhotoRec telah memulihkan semua gambar kami, simpan untuk nama file.

    Terutama

    Foremost adalah program baris perintah tanpa antarmuka interaktif seperti PhotoRec, tetapi menawarkan sejumlah opsi baris perintah untuk mendapatkan sebanyak mungkin data dari drive yang ada di drive Anda..

    Untuk daftar lengkap opsi yang dapat diubah melalui baris perintah, buka terminal (Aplikasi> Aksesori> Terminal) dan ketik:

    terpenting -h

    Dalam kasus kami, opsi baris perintah yang akan kami gunakan adalah:

    • -t, daftar jenis file yang dipisahkan koma untuk dicari. Dalam kasus kami, ini adalah "jpeg, png, gif".
    • -v, mengaktifkan mode verbose, memberi kami informasi lebih lanjut tentang apa yang paling penting dilakukan.
    • -o, folder keluaran untuk menyimpan file yang dipulihkan. Dalam kasus kami, kami membuat direktori bernama "terdepan" pada desktop.
    • -i, input yang akan dicari file. Ini dapat berupa disk image dalam beberapa format berbeda; namun, kami akan menggunakan hard disk, / dev / sda.

    Doa terpenting kami adalah:

    sudo terkemuka -t jpeg, png, gif -o terkemuka -v -i / dev / sda

    Doa Anda akan berbeda tergantung pada apa yang Anda cari dan di mana Anda mencarinya.

    Foremost mampu memulihkan 17 dari 20 file yang tersimpan di hard drive.

    Melihat file-file tersebut, kami dapat mengonfirmasi bahwa file-file ini dipulihkan dengan relatif baik, meskipun kami dapat melihat beberapa kesalahan pada thumbnail untuk 00622449.jpg.

    Sebagian dari ini mungkin disebabkan oleh sistem file ext2. Foremost merekomendasikan penggunaan opsi -d command-line untuk sistem file Linux seperti ext2.

    Kami akan menjalankan yang terpenting lagi, menambahkan opsi -d command-line ke permohonan kami yang terdepan:

    sudo terdepan -t jpeg, png, gif -d -o terdepan -v -i / dev / sda

    Kali ini, yang terpenting adalah dapat memulihkan semua 20 gambar!

    Pandangan terakhir pada gambar-gambar itu mengungkapkan bahwa gambar-gambar itu dipulihkan tanpa masalah.

    Pisau bedah

    Scalpel adalah program kuat lain yang, seperti Foremost, sangat dapat dikonfigurasi. Tidak seperti Foremost, Scalpel mengharuskan Anda untuk mengedit file konfigurasi sebelum mencoba pemulihan data apa pun.

    Editor teks apa pun akan melakukannya, tetapi kami akan menggunakan gedit untuk mengubah file konfigurasi. Di jendela terminal (Aplikasi> Aksesori> Terminal), ketik:

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.conf berisi informasi tentang sejumlah jenis file yang berbeda. Gulirkan file ini dan batalkan komentar pada baris yang dimulai dengan jenis file yang ingin Anda pulihkan (mis. Hapus karakter "#" di awal baris tersebut).

    Simpan file dan tutup. Kembali ke jendela terminal.

    Scalpel juga memiliki banyak opsi baris perintah yang dapat membantu Anda mencari dengan cepat dan efektif; namun, kami hanya akan mendefinisikan perangkat input (/ dev / sda) dan folder output (folder bernama "scalpel" yang kami buat di desktop).

    Doa kami adalah:

    sudo scalpel / dev / sda -o pisau bedah

    Scalpel dapat memulihkan 18 dari 20 file kami.

    Melihat sekilas pada file skalpel yang dipulihkan menunjukkan bahwa sebagian besar file kami berhasil dipulihkan, meskipun ada beberapa masalah (mis. 00000012.jpg).

    Kesimpulan

    Dalam contoh mainan cepat kami, TestDisk dapat memulihkan dua partisi yang dihapus, dan PhotoRec dan Foremost mampu memulihkan semua 20 gambar yang dihapus. Scalpel memulihkan sebagian besar file, tetapi sangat mungkin bahwa bermain dengan opsi command-line untuk scalpel akan memungkinkan kami untuk memulihkan semua 20 gambar.

    Alat-alat ini adalah penyelamat ketika ada yang salah dengan hard drive Anda. Jika data Anda ada di hard drive di suatu tempat, maka salah satu alat ini akan melacaknya!

    Pulihkan File dengan Salinan Shadow di Versi Windows Vista
    Pulihkan Data Formulir yang Hilang di Firefox
    Rekam Video Desktop Anda di OS Apapun Secara Gratis
    Artikel selanjutnya
    Pulihkan File yang Dihapus pada Hard Drive NTFS dari Ubuntu Live CD
    Artikel sebelumnya
    Rekam Sesi Baris Perintah Anda dengan Asciinema