Installéiert Scalpel (A Filesystem Recovery Tool) fir geläscht Dateien/Ordner op Linux ze recuperéieren
Vill Mol geschitt et datt mir zoufälleg oder falsch drécken 'Shift + läschen' op Dateien. Vun der mënschlecher Natur hutt Dir eng Gewunnecht 'Shift + Del' ze benotzen anstatt nëmmen 'Läschen'Optioun ze benotzen. Ech hat eigentlech dësen Tëschefall e puer Deeg zréck. Ech hunn un engem Projet geschafft a meng Aarbechtsdatei an engem Verzeichnis gespäichert. Et ware vill ongewollt Dateien an deem Verzeichnis a musse permanent geläscht ginn. Also hunn ech ugefaang se een nom aneren ze läschen. Wärend dës Dateien geläscht hunn, hunn ech zoufälleg 'Shift delete' op eng vu menge wichtege Fichier gedréckt. De Fichier gouf permanent aus mengem Verzeichnis geläscht. Ech hu mech gefrot wéi ech geläscht Dateien recuperéieren an hat keng Ahnung wat ze maachen. Ech hu bal vill Zäit verbruecht fir d'Datei ze restauréieren awer kee Gléck.
Wësse e bëssen technescht Wëssen, wousst ech iwwer wéi Dateiesystem an HDD funktionnéiert. Wann Dir e Fichier zoufälleg läscht, gëtt den Inhalt vun der Datei net vun Ärem Computer geläscht. Et gëtt just aus dem Datebank Dossier geläscht an Dir kënnt d'Datei net an de Verzeechnes gesinn, awer et bleift nach iergendwou op Ärer Festplack. Prinzipiell huet de System e Lëschteweiser fir d'Blocken op de Späicherapparat nach ëmmer d'Donnéeën. D'Donnéeën ginn net vum Blockspeichergerät geläscht ausser a bis Dir mat enger neier Datei iwwerschreift. Op dësem Standpunkt hunn ech verëffentlecht datt meng geläschte Datei nach iergendwou an engem onindexéierte Gebitt vun der Festplack bleift. Wéi och ëmmer, et ass recommandéiert en Apparat direkt ze demontéieren soubal Dir feststellt datt Dir eng wichteg Datei geläscht hutt. Unmount hëlleft Iech ze verhënneren datt déi blockéiert Dateien mat neier Datei iwwerschriwwe ginn.
An dësem Szenario wollt ech dës Donnéeën net iwwerschreiwe, dofir hunn ech léiwer op der Festplack sichen ouni se ze montéieren.
Normalerweis a Windows kréie mir Tonne vun Drëtt Partei Tools fir verluer Daten ze recuperéieren, awer am Linux nëmme wéineg. Wéi och ëmmer, ech benotzen Ubuntu als Betriebssystem an et ass ganz schwéier en Tool ze fannen dat verluerene Dateien erëmhëlt. Wärend menger Fuerschung hunn ech iwwer 'Scalpel' en Tool kennengeléiert dat duerch déi ganz Festplack leeft an eng verluerene Datei erëmhëlt. Ech installéiert an erfollegräich erëmfonnt meng verluer Fichier mat der Hëllef vun Scalpel Outil. Et ass wierklech erstaunlech Tool ech muss soen.
Dëst kann och mat Iech geschéien. Also hunn ech geduecht meng Erfahrung mat Iech ze deelen. An dësem Artikel wäert ech Iech weisen wéi Dir geläscht Dateien mat Hëllef vum Scalpel Tool recuperéiere kënnt. Also hei gi mer.
Wat ass Scalpel Tool?
Scalpel ass eng Open Source Dateisystem Erhuelung fir Linux a Mac Operatiounssystemer. D'Tool besicht d'Spärdatenbankspäicherung an identifizéiert déi geläscht Dateien dovun a recuperéieren se direkt. Nieft der Datei Erhuelung ass et och nëtzlech fir digital Forensik Enquête.
Wéi installéiert Scalpel an Debian/Ubuntu a Linux Mint
Fir Scalpel z'installéieren, öffnen den Terminal andeems Dir CTrl + Alt + T vum Desktop maacht a lafen de folgende Kommando.
$ sudo apt-get install scalpel
Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: scalpel 0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded. Need to get 0 B/33.9 kB of archives. After this operation, 118 kB of additional disk space will be used. Selecting previously unselected package scalpel. (Reading database ... 151082 files and directories currently installed.) Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ... Processing triggers for man-db ... Setting up scalpel (1.60-1build1) ... [email :~$
Scalpel installéieren an RHEL/CentOS a Fedora
Fir Scalpel Erhuelung Tool z'installéieren, musst Dir als éischt Epel Repository aktivéieren. Wann et aktivéiert ass, kënnt Dir 'Yum' maachen fir et z'installéieren wéi gewisen.
# yum install scalpel
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: centos.01link.hk * epel: mirror.nus.edu.sg * epel-source: mirror.nus.edu.sg Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package scalpel.i686 0:2.0-1.el6 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================================== Installing: scalpel i686 2.0-1.el6 epel 50 k Transaction Summary ========================================================================================================================================================== Install 1 Package(s) Total download size: 50 k Installed size: 108 k Is this ok [y/N]: y Downloading Packages: scalpel-2.0-1.el6.i686.rpm | 50 kB 00:00 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Installing : scalpel-2.0-1.el6.i686 1/1 Verifying : scalpel-2.0-1.el6.i686 1/1 Installed: scalpel.i686 0:2.0-1.el6 Complete!
Wann d'Skalpell installéiert ass, musst Dir Text änneren. Par défaut huet d'Scalpel Utility seng eege Konfiguratiounsdatei am '/etc' Verzeichnis an de komplette Wee ass /etc/scalpel/scalpel.conf oder /etc/scalpel.conf. Dir kënnt feststellen datt alles kommentéiert ass (#). Also ier Dir Scalpel laaft, musst Dir de Dateiformat deen Dir recuperéieren musst decommentéieren. Wéi och ëmmer, d'ganz Datei unkommentéieren ass Zäitopwendeg a wäert enorm falsch Resultater generéieren.
Loosst eis zum Beispill soen datt ech nëmmen '.jpg' Dateien recuperéieren wëll, also einfach '.jpg' Dateisektioun fir d'Skalpell Konfiguratiounsdatei unkommentéieren.
# GIF and JPG files (very common)
gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9Gitt op den Terminal a gitt folgend Syntax. Den '/dev/sda1'ass eng Plaz vun engem Apparat vu wou d'Datei scho geläscht ass.
$ sudo scalpel /dev/sda1-o output
Den '-o' Schalter weist en Ausgangsverzeechnes un, wou Dir Är geläscht Dateie restauréiere wëllt. Vergewëssert Iech datt dësen Verzeechnes eidel ass ier Dir e Kommando leeft, soss gëtt et Iech e Feeler. D'Ausgab vum uewe genannte Kommando ass.
Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/dev/sda1" Image file pass 1/2. /dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA
Wéi Dir gesitt, mécht d'Skalpell elo säi Prozess an et wäert Zäit daueren fir Är geläschte Datei ze recuperéieren ofhängeg vum Disk Space, deen Dir probéiert ze scannen an d'Geschwindegkeet vun der Maschinn.
Ech géif Iech all recommandéieren eng Gewunnecht ze hunn nëmme Läschen ze benotzen anstatt Shift + Delete. Well wéi gesot ass Präventioun ëmmer besser wéi Heelen.