→ Программы для восстановления данных. Восстанавливаем данные в Ubuntu Linux Плагин для Total Commander ext4tc

Программы для восстановления данных. Восстанавливаем данные в Ubuntu Linux Плагин для Total Commander ext4tc

Из-за различных неполадок или неожиданного отключения компьютера файловая система может быть повреждена. При обычном выключении все файловые системы монтируются только для чтения, а все не сохраненные данные записываются на диск.

Но если питание выключается неожиданно, часть данных теряется, и могут быть потерянны важные данные, что приведет к повреждению самой файловой системы. В этой статье мы рассмотрим как восстановить файловую систему fsck, для нескольких популярных файловых систем, а также поговорим о том, как происходит восстановление ext4.

Как вы знаете файловая система содержит всю информацию обо всех хранимых на компьютере файлах. Это сами данные файлов и метаданные, которые управляют расположением и атрибутами файлов в файловой системе. Как я уже говорил, данные не сразу записываются на жесткий диск, а некоторое время находятся в оперативной памяти и при неожиданном выключении, за определенного стечения обстоятельств файловая система может быть повреждена.

Современные файловые системы делятся на два типа - журналируемые и нежурналируемые. Журналиуемые файловые системы записывают в лог все действия, которые собираются выполнить, а после выполнения стирают эти записи. Это позволяет очень быстро понять была ли файловая система повреждена. Но не сильно помогает при восстановлении. Чтобы восстановить файловую систему linux необходимо проверить каждый блок файловой системы и найти поврежденные сектора.

Для этих целей используется утилита fsck. По сути, это оболочка для других утилит, ориентированных на работу только с той или иной файловой системой, например, для fat одна утилита, а для ext4 совсем другая.

В большинстве систем для корневого раздела проверка fsck запускается автоматически, но это не касается других разделов, а также не сработает если вы отключили проверку.

Основы работы с fsck

В этой статье мы рассмотрим ручную работу с fsck. Возможно, вам понадобиться LiveCD носитель, чтобы запустить из него утилиту, если корневой раздел поврежден. Если же нет, то система сможет загрузиться в режим восстановления и вы будете использовать утилиту оттуда. Также вы можете запустить fsck в уже загруженной системе. Только для работы нужны права суперпользователя, поэтому выполняйте ее через sudo.

А теперь давайте рассмотрим сам синтаксис утилиты:

$ fsck [опции] [опции_файловой_системы] [раздел_диска]

Основные опции указывают способ поведения утилиты, оболочки fsck. Раздел диска - это файл устройства раздела в каталоге /dev, например, /dev/sda1 или /dev/sda2. Опции файловой системы специфичны для каждой отдельной утилиты проверки.

А теперь давайте рассмотрим самые полезные опции fsck:

  • -l - не выполнять другой экземпляр fsck для этого жесткого диска, пока текущий не завершит работу. Для SSD параметр игнорируется;
  • -t - задать типы файловых систем, которые нужно проверить. Необязательно указывать устройство, можно проверить несколько разделов одной командой, просто указав нужный тип файловой системы. Это может быть сама файловая система, например, ext4 или ее опции в формате opts=ro. Утилита просматривает все файловые системы, подключенные в fstab. Если задать еще и раздел то к нему будет применена проверка именно указанного типа, без автоопределения;
  • -A - проверить все файловые системы из /etc/fstab. Вот тут применяются параметры проверки файловых систем, указанные в /etc/fstab, в том числе и приоритетность. В первую очередь проверяется корень. Обычно используется при старте системы;
  • -C - показать прогресс проверки файловой системы;
  • -M - не проверять, если файловая система смонтирована;
  • -N - ничего не выполнять, показать, что проверка завершена успешно;
  • -R - не проверять корневую файловую систему;
  • -T - не показывать информацию об утилите;
  • -V - максимально подробный вывод.

Это были глобальные опции утилиты. А теперь рассмотрим опции для работы с файловой системой, их меньше, но они будут более интересны:

  • -a - во время проверки исправить все обнаруженные ошибки, без каких-либо вопросов. Опция устаревшая и ее использовать не рекомендуется;
  • -n - выполнить только проверку файловой системы, ничего не исправлять;
  • -r - спрашивать перед исправлением каждой ошибки, используется по умолчанию для файловых систем ext;
  • -y - отвечает на все вопросы об исправлении ошибок утвердительно, можно сказать, что это эквивалент a.
  • -c - найти и занести в черный список все битые блоки на жестком диске. Доступно только для ext3 и ext4;
  • -f - принудительная проверка файловой системы, даже если по журналу она чистая;
  • -b - задать адрес суперблока, если основной был поврежден;
  • -p - еще один современный аналог опции -a, выполняет проверку и исправление автоматически. По сути, для этой цели можно использовать одну из трех опций: p, a, y.

Теперь мы все разобрали и вы готовы выполнять восстановление файловой системы linux. Перейдем к делу.

Как восстановить файловую систему в fsck

Допустим, вы уже загрузились в LiveCD систему или режим восстановления. Ну, одним словом, готовы к восстановлению ext4 или любой другой поврежденной ФС. Утилита уже установлена по умолчанию во всех дистрибутивах, так что устанавливать ничего не нужно.

Восстановление файловой системы

Если ваша файловая система находится на разделе с адресом /dev/sda1 выполните:

sudo fsck -y /dev/sda1

Опцию y указывать необязательно, но если этого не сделать утилита просто завалит вас вопросами, на которые нужно отвечать да.

Восстановление поврежденного суперблока

Обычно эта команда справляется со всеми повреждениями на ура. Но если вы сделали что-то серьезное и повредили суперблок, то тут fsck может не помочь. Суперблок - это начало файловой системы. Без него ничего работать не будет.

Но не спешите прощаться с вашими данными, все еще можно восстановить. С помощью такой команды смотрим куда были записаны резервные суперблоки:

sudo mkfs -t ext4 -n /dev/sda1

На самом деле эта команда создает новую файловую систему. Вместо ext4 подставьте ту файловую систему, в которую был отформатирован раздел, размер блока тоже должен совпадать иначе ничего не сработает. С опцией -n никаких изменений на диск не вноситься, а только выводится информация, в том числе о суперблоках.

Теперь у нас есть шесть резервных адресов суперблоков и мы можем попытаться восстановить файловую систему с помощью каждого из них, например:

sudo fsck -b 98304 /dev/sda1

После этого, скорее всего, вам удастся восстановить вашу файловую систему. Но рассмотрим еще пару примеров.

Проверка чистой файловой системы

Проверим файловую систему, даже если она чистая:

sudo fsck -fy /dev/sda1

Битые сектора

Или еще мы можем найти битые сектора и больше в них ничего не писать:

sudo fsck -c /dev/sda1

Установка файловой системы

Вы можете указать какую файловую систему нужно проверять на разделе, например:

sudo fsck -t ext4 /dev/sdb1

Проверка всех файловых систем

С помощью флага -A вы можете проверить все файловые системы, подключенные к компьютеру:

Но такая команда сработает только в режиме восстановления, если корневой раздел и другие разделы уже примонтированы она выдаст ошибку. Но вы можете исключить корневой раздел из проверки добавив R:

sudo fsck -AR -y

Или исключить все примонтированные файловые системы:

Также вы можете проверить не все файловые системы, а только ext4, для этого используйте такую комбинацию опций:

sudo fsck -A -t ext4 -y

Или можно также фильтровать по опциям монтирования в /etc/fstab, например, проверим файловые системы, которые монтируются только для чтения:

sudo fsck -A -t opts=ro

Проверка примонтированных файловых систем

Раньше я говорил что нельзя. Но если другого выхода нет, то можно, правда не рекомендуется. Для этого нужно сначала перемонтировать файловую систему в режим только для чтения. Например:

sudo mount -o remount,ro /dev/sdb1

А теперь проверка файловой системы fsck в принудительном режиме:

sudo fsck -fy /dev/sdb1

Думаю, каждый из нас с вами сталкивался с проблемой, когда из-за глюка прошивки фотоаппарата, камеры, кпк, смартфона или просто из-за особого устройства /dev/hands карточка была отформатирована, данные были удалены. В свое время данную проблему я решал достаточно просто, используя Portable версию Ontrack Easy Recovery, но так как уже несколько лет являюсь пользователем linux систем, то использование данного нелицензионнного приложения через wine показалось не совсем кошерным, к тому же жажда исследований и приключений требовала найти бесплатный родной аналог для linux систем. Исследования закончились, даже не успев начаться, так как первая строчка в поиске Google привела к набору утилит TestDisk, о которых я расскажу далее подробнее.

И так, TestDist состоит из двух утилит:
testdisk и photorec; Официальный сайт утилит .
Краткое описание:
testdisk – мощная утилита, разработанная для восстановления удаленных разделов и для восстановления загрузочных записей mbr после программных ошибок, действий некоторых вирусов, человеческих ошибок (например, когда раздел был просто удален).
Возможности testdisk :
Исправление таблицы разделов; восстановление удаленных разделов Восстановление FAT32 загрузочного сектора из бэкапа Перестроение FAT12/FAT16/FAT32 загрузочного сектора Исправление FAT tables
Перестроение NTFS загрузочного сектора Восстановление NTFS загрузочного сектора из бэкапа Исправление MFT используя MFT зеркало Нахождение ext2/ext3 Backup SuperBlock
Восстановление удаленных файлов в FAT, NTFS and ext2 файловых системах
Копирование файлов из FAT, NTFS and ext2/ext3 удаленных разделов.

photorec – утилита восстановления данных таких, как файлы видео, документы, архивы с жестких дисков и cdrom дисков, а также фото (поэтому название программы Photo Recovery) со встроенной памяти камер. Список типов файлов для восстановления весьма внушителен и с ним можно ознакомиться .

Обе утилиты open source, распространяются под лицензией GNU General Public License (GPL). Имеются в наличие версии для linux, unix, а также для windows платформ.

В большинстве линукс дистрибутивов уже включены в состав стандартного репозитория. Для debian-based дистрибутивов установка командой:

В моем случае требовалось восстановить фотографии с карточки фотоаппарата после того, как фотоаппарат случайно отформатировал карточку. Вставив флешку в card reader и запустив с правами рута photorec в консоли, утилита предложила мне выбрать диск, на котором требуется восстановить данные.

В моем случае это будет /dev/sdb .
Далее выбираем тип таблицы разделов на диске, для большинства пользователей это будет Intel/PC.

И далее выбираем раздел или диск целиком для поиска удаленных файлов. Так как мне нужно было восстановить все удаленные файлы после форматирования, то я выбрал поиск по всему диску.
После этого photorec требуется указать тип файловой системы, в которой хранились удаленные файлы. В данном случае все просто, выбираем второй пункт.

А затем на другом диске выбираем директорию, куда утилита сохранит восстановленные файлы.

Далее нажимаем Y и программа начинает свою работу. Для 32Мб карточки ей потребовалось меньше минуты.
Теперь о результатах работы:
Честно говоря, по началу я весьма сомневался в способностях программы. Но открыв директорию с результатами работы утилиты, я с удивлением обнаружил, что были восстановлены не только нужные недавно сделанные 10 фотографий, но и еще 110 других, самая ранняя из которых была сделана 3 года назад и не была перезаписана при дальнейшем использовании карточки, хотя форматировалась карта неоднократно.
В итоге имеем очередную победу добра над злом, счастливую улыбку обладателя фотоаппарата, еще один факт доказательства того, что существует море полезных и качественных opensource утилит.

Если у вас на одном из дисков установлена Linux и вы, будучи загруженным в Windows, хотите посмотреть содержимое этого диска, то окажется, что это не так-то просто. Потребуется установка дополнительного драйвера и программы.

В противном случае при подключении, например, флешки с Линуксом, нас встречает вот такое "радостное" сообщение, что "Чтобы использовать диск в дисководе сначала отформатируйте его".

Вчерашнее обновление архиватора

Скрыто от гостей

До версии 15.08 beta даёт нам возможность упростить эту задачу. 7-Zip теперь поддерживает извлечение образов ext3 и ext4 (файловая система Linux) .

Мои тесты дали разные результаты, но общий вывод - новая функция прекрасно работает с разными дистрибутивами, кроме и CentOS (я не знаю почему).

Открытие файловой системы ext3 и ext4 из Windows

Всё довольно просто.

Скрыто от гостей

Версии 15.08 или более позднюю. Если ОС Linux установлена на раздел жёсткого диска или на флешку, то переходите в

\. \.PhysicalDrive0

Если вам нужно открыть образ с Linux , то работаете с ним как с обычным архивом:

Если нужно просмотреть содержимое виртуального жёсткого диска, на котором установлена Linux , то открываете этот виртуальный жёсткий диск как архив, доступные разделы представлены в виде образов:

Двойным кликом можно перейти внутрь этих образов и посмотреть/скопировать данные с них:

Важная деталь - даже большие диски открываются очень быстро. Если виртуальный диск является динамическим, то никаких проблем это не вызывает.

Тем не менее, не всё так безоблачно.

Открытие разделов Kali Linux и CentOS из Windows с помощью 7-Zip

Заглянуть во внутрь разделов этих операционных систем мне не удалось.

Вместо открытия, 7-Zip пытался извлечь файлы образов во временную папку. Это вызывало у меня ошибку нехватки места на диске C. Когда эта ошибка была побеждена и я извлёк файл образа, 7-Zip всё равно не справился с его открытием, выдавалась ошибка «Файл образа диска повреждён».

Перенос временной папки 7-Zip в другое место

Раз уж заговорили об ошибке о переполнении диска C при работе архиватора 7-Zip, то опишу здесь пару способов, которыми её можно решить.

Стандартная настройка смены каталога, почему то, не срабатывает в последних бета версиях.

1й способ смены временной папки 7-Zip (мне он понравился больше)

Перейдите в двухпанельный режим (запустите 7zFM.exe и нажмите "F9"). Затем откройте нужный архив в левой панели и используйте "F5" или "Извлечь", чтобы распаковать архив в другую панель.

У меня этот способ прекрасно сработал.

2й способ смены временного каталога 7-Zip

Измените переменную окружения %Temp% на нужный вам каталог. Сделать это можно так: кликните правой кнопкой на Этот компьютер , затем выберите Свойства . Потом Дополнительные параметры системы , выберите вкладку Дополнительно , и на ней выберите Переменный среды .

Выберите %Temp% из списка и отредактируйте её под ваши нужды.

Все программы, которые используют временную директорию Temp , теперь будут использовать новый установленный путь.

Способ, что называется, на любителя.

Часто ли вы сталкивались с ситуациями когда нужно было восстановить данные? Вы случайно удалили файла, но когда было уже поздно одумались, но не знали как восстановить, как вариант устанавливали операционную систему и по незнанию разметки дисков, отформатировали диск с всеми данными, музыка, фильмы, домашние фото и прочие другие данные. Вы в отчаянии не зная можно ли восстановить восстанавливали все по крупицам, но это лишь малейшая часть решения последствий проблемы которая возникла, данные в Linux можно восстановить и для этого есть утилиты, как платные так и бесплатные и сегодня мы обсудим 7 утилит которые помогут в восстановлении данных в Ubuntu Linux.

Частично конечно это все помогало, но большая часть данных все же была утеряна, а представьте ситуацию, вы студент, готовите курсовую, остается неделя либо две до сдачи, а у вас полетел жесткий диск на котором была ваша курсовая, как поступить в данной ситуации.

Знаю, многие пользователи привыкли с времен работы на системе от мелкомягких работать с графическим интерфейсом, но мы сегодня обсудим так же и консольные утилиты так как многие из них помогают в восстановлении не хуже, а в некоторых ситуациях даже лучше.

Как восстановить данные и какими приложениями воспользоваться?

Как восстановить данные с помощью утилиты Scalpel

Scalpel - это набор инструментов для быстрого восстановления файлов. Уникальная утилита, уникальность ее в том, что она никак не зависит от файловой системы. Утилита ищет по базе данных файлы файлы всех известных форматов и пытается найти их на диске по определенным своим шаблонам просматривая начало и конец файла. Может помочь в восстановлении в таких файловых системах как FATx, NTFS, ext2/3, так же с "RAW" разделов.

Установим утилиту, выполните в терминале команду:

sudo apt install scalpel

утилита работает по своему внутреннему шаблону /etc/scalpel/scalpel.conf , если вы хотите восстановить файлы определенного формата, стоит открыть конфиг и раскомментировать соответствующие строки для данного типа файлов. При редактировании шаблона конфига нужно быть очень осторожным чтобы не нарушить его и не удалить чего лишнего.

Пример использования Scalpel:

sudo scalpel file.iso -o dir_recovery

директория для восстановления "dir_recovery " обязательно должна быть пустой, file.iso это как пример данных которые нам нужно восстановить, мы знаем, что у нас был такой образ с точно таким же названием, мы можем указать не только файл напрямую, но можем и указать полный путь к устройству откуда нужно восстановить, вида /dev/sdb1/directory_name/directory_name2/filename .

Как восстановить данные с помощью R-Linux

R-Linux является бесплатной программой для восстановления файловых систем Ext2/Ext3/Ext4 FS, используемых в Linux и некоторых Unix операционных системах (ОС). Используемая в R-Linux Технология Сканирования и удобный в установке параметров интерфейс программы дают пользователю абсолютный контроль над процессом восстановления данных. Программа восстанавливает данные с существующих логических дисков, даже если записи файлов утрачены. Однако, в программе отсутствует возможность восстановления данных по сети, а также функциональность по реконструкции дисковых массивов и восстановления с них данных.

Есть два варианта утилиты R-Linux: для ОС Linux и для ОС Windows. Они имеют одинаковую функциональность, разница состоит лишь в ОС хоста.

R-Linux восстанавливает следующие файлы:

  • Удаленные в результате вирусной атаки, сбоя питания или повреждения системы;
  • С поврежденных или удаленных разделов, после форматирования раздела, даже в раздел с другой файловой системой;
  • Когда структура раздела на диске была изменена или повреждена. В этом случае R-Linux может отсканировать жесткий диск, найти ранее удаленный или поврежденный раздел, а уже затем восстановить данные с найденного раздела.
  • С жестких дисков, на которых имеется большое число поврежденных секторов. R-Linux позволяет скопировать информацию и создать образ целого диска или его части, а уже затем работать с файлом образа, сохраненным на другом носителе, как с оригинальным диском. Это особенно полезно и эффективно, когда число поврежденных секторов на диске постоянно растет, и необходимо немедленно сохранить оставшуюся информацию.

Что может R-Linux:

  • Операционная система (ОС) хоста:
  • Вариант для ОС Linux: любая ОС Linux на базе ядра 2.6+
  • Вариант для ОС Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8/8.1, Windows Server 2008/2012
  • Поддерживаемые файловые системы: только Ext2/Ext3/Ext4 FS (Linux).
  • Распознание и анализ схем Динамических (Windows 2000/XP/2003/Vista/Win7), Основных, BSD (UNIX) разделов и схемы разделов APM (Apple Partition Map). Поддержка динамических разделов на GPT, а также на MBR.
  • Создание ФАЙЛА ОБРАЗА для целого физического диска, раздела или его части. Файлы образов диска могут обрабатываться программой как обычный диск. Возможны два вида образов: 1) Образы, являющиеся точной побайтовой копией объекта (Несжатые образы) - такие образы совместимы с предыдущими версиями R-Linux; 2) Сжатые образы - могут быть сжаты, разбиты на несколько файлов и защищены паролем. Такие образы полностью совместимы с образами, создаваемыми программой R-Drive Image, но несовместимы с предыдущими версиями R-Linux.
  • Восстановленные файлы могут быть сохранены на любой, включая сетевой, диск, доступный локальной операционной системой.
  • Мониторинг параметров S.M.A.R.T R-Linux может отображать параметры S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) для жестких дисков которые показывают состояние их аппаратной части и предсказывать их возможные отказы. Нужно избегать любую дополнительную нагрузку на такие диски если появляются предупреждения от системы S.M.A.R.T.
  • Поиск удаленных версий файлов. R-Linux может искать удаленные версии файлов используя их размеры, имена, расширения и распознанные типы файла как параметры поиска.

Если вам что-то не понятно по приложению, вы можете ознакомиться с справочным руководством по ссылках / руководство достаточно обширное, найдете ответы на многие вопросы.

Как установить R-Linux

Скачать файл для вашей архитектуры вы можете по ссылке - , далее для установки, откроем терминал и выполним команды:

Cd ~/Загрузки/ cd ~/Downloads/ sudo dpkg -i rli*

после завершения установки ищем приложение в меню Ubuntu - Системные утилиты - R-Linux , после первого запуска вы увидите англоязычное приложение, не пугайтесь, поддержка "Русского" так же присутствует. Перейдите в меню Help - Interface Language , и выберите русский, готово.

Если вам нужно восстановить файлы, подключите как пример флешку, увидели что флешка определилась, на боковой панели Ubuntu, нажмите в приложении кнопку обновить, чтобы увидеть ваш носитель. Далее выделяем курсором мыши раздел нашего флеш-носителя и жмем кнопку "Сканировать ".

Как видите, нам предлагают более детально настроить параметры сканирования, искать ли по известных типах файлов, вести ли журнал, где конкретно искать, позволяется указать с какого отрезка байтов стоит начинать сканирование, с 0 по стандарту или же указать свои данные.

Cканирование начато, ждем пока завершится, не отменяем ни в каком случае, иногда это может плохо кончиться для флеш-носителя. Сканирование завершено, далее мы видим следующую картинку:

ниже под нашим флеш-разделом появилась область с названием "Найденные по сигнатурам ", нажмите по этому разделу курсором мыши и увидим новое окно:

нажмите по строке "Файлы, найденные по информации о типичных особенностях структуры их данных ". После нажатия по данной ссылке мы увидим примерно следующее:

выделяем нужные вам директории и жмем кнопку "Восстановить помеченные ", я ради теста проверил, утилита хорошо работает, пробуйте и отписывайтесь по результату как она в деле в реальной ситуации когда утеряны данные, удалены файлы и прочее.

Как восстановить данные с помощью утилиты R-Studio

Платная утилита, но она того стоит так как выручит даже из самых сложных ситуаций, купить можно на официальном сайте - . Продвинутая утилита, лучшая с утилит для восстановления данных, работает с файловыми системами NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little and Big Endian variants of UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) и Ext2/Ext3/Ext4 FS (Linux). В R-Studio также используется восстановление файлов по сигнатурам (поиск при сканировании файлов известных типов) для сильно поврежденных или неизвестных файловых систем. Программа позволяет восстанавливать данные как локально, так и на удаленных компьютерах по сети, даже если разделы дисков были форматированы, повреждены или удалены.

В состав R-Studio входят:

  • Модуль реконструкции RAID
  • Универсальный текстовый/шестнадцатиричный редактор, обладающий широким диапазоном возможностей
  • Отдельный модуль резервного копирования системы и данных (копирования диска), что позволяет считать R-Studio наиболее оптимальным и полным решением при создании рабочей станции для восстановления данных.

R-Studio восстанавливает файлы:

  • Удаленные вне Корзины или когда Корзина была очищена;
  • Удаленные вирусной атакой или сбоем питания компьютера;
  • После того, как раздел с файлами был переформатирован, даже в раздел с другой файловой системой;
  • Когда структура раздела на жестком диске были изменена или повреждена. В этом случае с помощью программы R-Studio можно отсканировать жесткий диск, найти удаленный или поврежденный раздел, а уже потом восстановить данные с найденного раздела.
  • С жестких дисков, на которых имеется большое число поврежденных секторов. Программа восстановления R-Studio может сначала скопировать информацию и создать образ целого диска или его части, а уже затем работать с файлом образа, сохраненным на другом носителе, как с оригинальным диском. Это особенно полезно и эффективно, когда число поврежденных секторов на диске постоянно растет, и необходимо немедленно сохранить оставшуюся информацию.
  • Приказом Министерства юстиции РФ от 26 ноября 2015 г. № 269, R-STUDIO была включена в список требований к минимальной комплектации материально-технической базы по нескольким видам судебных экспертиз проводимых в федеральных бюджетных судебно-экспертных учреждениях Министерства юстиции Российской Федерации.

Что может утилита R-Studio:

  • Стандартный пользовательский интерфейс "Windows Explorer".
  • Операционная система (ОС) хоста: Windows 2000, XP, 2003 Server, Vista, 2008 Server, Windows 7, Windows 8/8.1/10, Windows Server 2012.
  • Восстановление данных по Cети. Файлы могут быть восстановлены по сети с удаленных компьютеров, на которых установлены ОС Win2000/XP/2003/Vista/2008/Windows 7/8/8.1/10/Windows Server 2012, Macintosh, Linux и UNIX.
  • Поддерживаемые файловые системы: FAT12, FAT16, FAT32, exFAT, NTFS, NTFS5, ReFS (новая локальная файловая система, которую ввел Microsoft в Windows 2012 Server), HFS/HFS+ (Macintosh), Little and Big Endian variants of UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) и Ext2/Ext3/Ext4 FS (Linux).
  • Поиск при Сканировании Файлов Известных Типов (восстановление файлов по сигнатурам): если файловая система на диске сильно повреждена или неизвестна, то R-Studio ищет шаблоны данных (файловые сигнатуры) свойственные определенным типам файлов (документы Microsoft Office, jpgs и т.д.). В случае необходимости пользователь может добавить новые типы файлов в состав R-Studio.
  • Распознание и анализ схем Основных(MBR), GPT и BSD (UNIX) разделов, а также схемы разделов Apple. Поддержка Динамических томов (Windows 2000-2012/8.1/10) на MBR и GPT.
  • Поддержка Windows Storage Spaces (Windows 8/8.1 и 10/Threshold 2), программных Apple RAID и Linux Logical Volume Manager (LVM/LVM2). R-Studio может автоматически распознавать и собирать компоненты этих дисковых менеджеров даже если их базы данных слегка повреждены. Их компоненты с серьезно поврежденными базами данных можно добавлять вручную.
  • Реконструкция поврежденных дисковых массивов (RAID). Если ОС не распознает дисковый массив (RAID), вы можете создать виртуальный RAID из его компонентов. Такой виртуальный массив может быть обработан программой как обычный физический.Поддержка стандартных уровней RAID: 0, 1, 4, 5, 6. Поддержка вложенных и нестандартных уровней: 10(1+0), 1E, 5E, 5EE, 6E. Поддержка задержки контроля четности для всех соответствующих уровней RAID. Поддержка пользовательских схем RAID.
  • Автоматическое распознавание параметров RAID.R-Studio способна распознавать все параметры для RAID 5 и 6. Это позволяет пользователю решить одну из наиболее трудных задач при восстановлении RAID - определение его параметров.
  • Создание ФАЙЛА-ОБРАЗА для целого Физического Диска (HD), Раздела или его части. Такие файлы-образы могут быть сжаты и разбиты на несколько файлов для сохранения на CD/DVD/Flash или на FAT16/FAT32/exFAT. Файлы образов диска могут обрабатываться программой как обычный диск.
  • Восстановление данных с поврежденных или удаленных разделов, зашифрованных файлов (NTFS 5), альтернативных потоков данных (NTFS, NTFS 5).
  • Восстановление данных после:
  • запуска FDISK или аналогичных утилит;
  • Вирусной атаки; повреждения FAT; разрушения MBR.
  • Распознавание локализованных имен.
  • Восстановленные файлы могут быть сохранены на любой, включая сетевой, диск, доступный локальной операционной системой. Восстановленные файлы могут быть сохранены на другом диске подключенного удаленного компьютера без перекачивания по сети на локальный компьютер.
  • Просмотр содержания файлов для оценки шансов восстановления. Содержание файлов большинства типов (форматов) может быть просмотрено даже если соответствующее файлу приложение не установлено.
  • Файлы или содержимое диска может быть просмотрено и отредактировано с помощью встроенного шестнадцатиричного редактора. Редактор поддерживает редактирование свойств NTFS файлов.
  • Мониторинг параметров S.M.A.R.T. R-Studio может отображать параметры S.M.A.R.T. (Self-Monitoring, Analysis and Reporting Technology) для жестких дисков которые показывают состояние их аппаратной части и предсказывать их возможные отказы. Нужно избегать любую дополнительную нагрузку на такие диски если появляются предупреждения от системы S.M.A.R.T.
  • Интеграция с DeepSpar Disk Imager - профессиональным устройством для создания образов жестких дисков, специально созданным для восстановления данных с неисправных дисков. Такая интеграция дает низкоуровневый тонкий доступ к дискам с определенным уровнем неисправностей аппаратной части. Более того, она позволяет создавать образ диска и проводить анализ одновременно. Т.е., любой сектор, к которому обращается R-Studio на исходном диске, будет немедленно скопирован на диск-клон, и все последующие операции по восстановлению данных будут производиться на диске-клоне чтобы предотвратить дальнейшее ухудшение состояния исходного диска и значительно уменьшить время обработки.

Конечно, выше описаны не все утилиты для восстановления данных, имеется еще список с таких утилит как Unrm, Giis, Ddrescue, DMDE, PhotoRec, Mondo Rescue и Safecopy, я описал лишь основные, о других утилитах и их возможностях, советовал бы ознакомиться с материалом - . На этом пожалуй и окончим материал, будут вопросы, спрашивайте, уточняйте и оставляйте отзывы об используемых утилитах которыми вы восстановили данные, может в статье нет то, что вы используете, опишите в комментариях, чем вы пользуетесь.

К восстановлению данных приходится прибегать при случайном удалении нужных файлов, при форматировании файловой системы с нужными данными, при «слёте» файловой системы, когда по каким-то причинам диск просто перестаёт определяться операционной системой, либо при повреждении носителя информации, в результате чего некоторые файлы становятся недоступными или исчезают.

В данной статье приведён список программ, которые так или иначе связаны с восстановлением файлов, папок, фотографий, документов и т.п. с носителей информации. Абсолютно все эти программы являются бесплатными, у каждой из них открыт исходный код.

Эти программы я разделил на четыре группы:

Деление несколько условное, поскольку некоторые программы имеются широкую функциональность, и могут быть помещены сразу в несколько групп.

У программ имеются свои особенности: ОС, в которых они работают, используемые методы, типы файлов, которые они способны найти, файловые системы, используемые методы и т.д. Если одна из программ не дала результатов, то имеет смысл попробовать другую.

Все описанные здесь программы работают в Linux, некоторые из них являются кроссплатформенными и работают в других операционных системах, например, Windows. Это будет отмечаться в описании программы.

Обычно при удалении файла не удаляется его содержимое, а удаляется информация об этом файле. Примерно это же происходит и при быстром форматировании носителей. Именно этим и пользуются многие программы по восстановлению файлов - они отыскивают содержимое файла и копируют его, этот процесс и называется «восстановлением файла». Место (область на диске), которое занимал файл, после удаления считается незанятым (не распределённым) и может быть перезаписано при сохранении другого файла. Поэтому крайне важно не сохранять новые данные на носитель. Если вы этого не делаете, то программы и системные процессы могут это делать без вашего участия. Операционные системы непрерывно обращаются к файловой системе. Например, ОС Windows несколько раз каждую секунду на протяжении всей работы компьютера обращается в свой реестр. Многие процессы, о которых вы даже не догадываетесь, также работают с файловой системой. Отсюда следуют вполне очевидные правила:

  • не записывайте новые файлы на диск или флешку, с которой вы хотите восстановить удалённый или пропавший файл;
  • восстанавливаемые файлы обязательно сохраняйте на другой носитель, а не на тот, с которого ведётся восстановление, поскольку эти файлы затирают данные и шансы на восстановление каждого последующего файла падают;
  • если вы работаете в Linux, то отмонтируйте раздел или перемонтируйте его только для чтения;
  • если это системный раздел, то рекомендуется выключить компьютер и работать с Live-диска или с образом данного раздела.

Хорошей практикой является не работать с носителем напрямую, а сделать его образ и работать с файлом образа. Благодаря такому подходу:

  • носитель можно отключить от системы, что гарантирует, что какие-либо процессы ОС не будут к нему обращаться и записывать на него данные;
  • вы точно не навредите носителю, если что-то сделаете не так;
  • если необходимость восстанавливать файлы связана с неисправностью носителя, то интенсивная работа нескольких программ может усугубить ситуацию.

Программы для восстановления удалённых файлов

В этом разделе в основном программы, которые восстанавливают отдельные файлы и папки.

PhotoRec

PhotoRec, пожалуй, это одна из самых дружелюбных к пользователю программ. Она работает на различных операционных системах, в том числе и на Windows. В ОС Windows она может работать как в режиме консоли, так и с графическим интерфейсом. Не смотря на свою дружественность, она является очень эффективной для восстановления файлов. Она может работать даже с носителями, у которых слетела файловая система.

Подробная инструкция по работе с PhotoRec (в том числе в Windows): https://zalinux.ru/?p=833

Эта программа является компаньоном TestDisk, которую также можно было бы рассмотреть в этом же разделе, поскольку она тоже умеет восстанавливать файлы. Но главное предназначение TestDisk - это восстанавливать файловые системы, поэтому она будет рассмотрена чуть позже.

Scalpel

Scalpel - это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований.

Некоторые примеры использования Scalpel: https://zalinux.ru/?p=877

extundelete

extundelete - это утилита, которая может восстановить удалённые файлы из разделов ext3 или ext4.

Некоторые примеры использования extundelete: https://zalinux.ru/?p=877

Foremost

Foremost — это консольная программа для восстановления файлов на основе их заголовков, колонтитулов и внутренней структуры данных. Этот процесс обычно называют «выскабливанием данных». Foremost может работать с файлами образов, такими как сгенерированные в dd, Safeback, Encase и т. д. или напрямую с диском. Заголовки и колонтитулы могут быть указаны в конфигурационном файле или вы можете использовать переключатели командной строки, для точного определения встроенных типов. Эти встроенные типы смотрят на структуру данных данного файлового формата, позволяя более надёжное и быстрое восстановление.

Некоторые примеры использования Foremost: https://zalinux.ru/?p=877

ext4magic

ext4magic — это инструмент администратора Linux, который может помочь восстановить удалённые или перезаписанные файлы на файловых системах ext3 и ext4.

В своей работе опирается на журнал файловой системы.

ext3grep

ext3grep - это инструмент для исследования файловых систем ext3 на удалённое содержимое и возможность его восстановить. Программа помогает восстанавливать удалённые файлы только с файловых систем ext3.

scrounge-ntfs

scrounge-ntfs - это утилита для спасения данных с повреждённых разделов NTFS, она записывает полученные файлы на другую рабочую файловую систему. Некоторая информация о повреждённом разделе должна быть известна заранее.

Recoverjpeg

Recoverjpeg - восстанавливает JFIF (JPEG) фотографии и файлы видео MOV. Recoverjpeg пытается идентифицировать jpeg картинки в файловой системе или из образа файловой системы.

magicrescue

magicrescue - сканирует блочное устройство и извлекает файлы известных типов по «магическим байтам». Может использоваться как утилита для восстановления удалённых файлов, так и спасения данных с повреждённого диска или раздела. Работает на любых файловых системах, но на очень фрагментированных файловых системах программа может восстановить только первый кусок каждого файла. Тем не менее, эти куски иногда достигают 50 мегабайт.

ddrescue

ddrescue - инструмент по восстановлению данных. Копирует данные из одного файла или блочного устройства на другое, пытается спасти сначала хорошие части, если имеются ошибки чтения.

Программы для восстановления файловых систем

TestDisk программа с открытым исходным кодом и лицензией GNU General Public License (GPL v2+).

TestDisk это мощная бесплатная программа для восстановления данных. Она была разработана в первую очередь, что бы помочь восстановить утраченные разделы и/или восстановить загрузочную способность дисков если эта проблема вызвана программно, вирусами или ошибками человека (таких как случайное удаление Таблицы Разделов). Восстановить Таблицы Разделов TestDisk-ом очень легко.

TestDisk может:

  • Исправлять таблицу разделов, восстанавливать удаленные разделы;
  • Восстанавливать загрузочный сектор FAT32 из резервной копии;
  • Перестраивать (реконструировать) загрузочный сектор FAT12/FAT16/FAT32;
  • Исправлять таблицу FAT;
  • Перестраивать (реконструировать) загрузочный сектор NTFS;
  • Восстанавливать загрузочный сектор NTFS из резервной копии;
  • Восстанавливать MFT использую MFT зеркало;
  • Определять резервный SuperBlock ext2/ext3/ext4;
  • Восстанавливать удаленные файлы на файловых системах FAT, NTFS and ext2;
  • Копировать файлы с удалённых FAT, NTFS and ext2/ext3/ext4 разделов.

TestDisk подойдёт и для новичков, и для экспертов. Для тех, кто знает мало или вообще ничего не знает о методах восстановления данных, TestDisk может быть использован для сбора детальной информации о незагружающихся дисках которая затем может быть использована для дальнейшего анализа. Те, кто уже знаком с такими процедурами, должен найти TestDisk удобным инструментом при выполнении восстановления.

TestDisk может работать под:

  • DOS (real или в Windows 9x, DOS-box)
  • Windows (NT4, 2000, XP, 2003, Vista, 2008, Windows 7 (x86 & x64), Windows 10
  • Linux
  • FreeBSD, NetBSD, OpenBSD
  • SunOS
  • MacOS X

Подробнейшее описание TestDisk с примерами работы: https://kali.tools/?p=2578

gpart

gpart пытается предположить, какие разделы присутствуют на жёстком диске. Она пытается найти потерянную, перезаписанную или разрушенную, но всё ещё существующую на диске, таблицу разделов, к которой операционная система не может получить доступ. gpart игнорирует главную таблицу раздела и сканирует диск (или образ диска) сектор за сектором в поисках нескольких типов файловых систем/разделов. В своей работе она использует модули распознания файловых систем, опрашивая их, не напоминает ли данная последовательность секторов тип файловой системы или раздела.

anyfs-tools

anyfs-tools - unix-way набор инструментов для восстановления и конвертирования файловых систем.

Инструменты:

  • anyfs-tools предоставляет unix-way набор инструментов для восстановления и конвертирования файловых систем.
  • build_it считывает из директории рекурсивно информацию обо всех инф.узлах файловой системы используя драйвер (для чтения) ОС Linux и сохраняет её в виде внешней таблицы инф.узлов.
  • anysurrect ищет на устройстве файлы исходя из известной структуры различных типов файлов. Информация о найденных файлах также сохраняется в виде внешней таблицы инф.узлов.
  • reblock изменяет размер блока файловой системы. reblock используя информацию из таблицы инф.узлов изменяет положения отдельных фрагментов файлов так, чтобы они были выровнены по границам блоков нового размера.
  • build_e2fs исходя из информации предоставляемой внешней таблицей инф.узлов строит на устройстве файловую систему ext2fs.
  • build_xfs исходя из информации предоставляемой внешней таблицей инф.узлов строит на устройстве файловую систему xfs.
  • anyconvertfs конвертирует файловую систему устройства с применением других утилит из anyfs-tools.
  • драйвер файловой системы anyfs для Linux позволяет смонтировать устройство используя информацию из внешней таблицы инф.узлов. При этом на смонтированной файловой системе будут доступны такие файловые операции как удаление, перемещение файлов; создание символических и жёстких ссылок, специальных файлов; изменение прав доступа. Все эти изменения сохраняются при отмонтировании в тот же файл внешней таблицы инф.узлов и не затрагивают самого устройства.
  • anyfuse является FUSE реализацией anyfs

Программы для восстановления данных с повреждённых носителей

safecopy

safecopy - инструмент по восстановлению данных с проблемных или повреждённых носителей. Программа спасает данные с источников, на которых возникли ошибки чтения-записи. Она пытается получить так много данных из источника, как это возможно, даже прибегая к специфичным для устройства операциям низкого уровня, где это возможно.

recoverdm

recoverdm - восстанавливает файлы с дисков с повреждёнными секторами.

recuperabit

recuperabit - это инструмент для криминалистической реконструкции файловой системы.

Криминалистические программы с функцией восстановления данных

Autopsy

Autopsy — это платформа цифровой криминалистики и графический интерфейс для Sleuth Kit и других цифровых криминалистических инструментов. Она используется правоохранительными органами, военными и корпоративными экспертами для расследования происшедшего на компьютерах. Обычные пользователи могут использовать её, например, для восстановления фотографий с цифровой карты памяти камеры.

Autopsy была создана чтобы быть интуитивно понятной из коробки. Установка проста и мастер проведёт вас по всем шагам.

Sleuth Kit

The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков. Ключевая функциональность TSK позволяет анализировать тома и данные файловой системы в компьютере подозреваемого. Фреймворк плагинов позволяет инкорпорировать дополнительные модули для анализа содержимого файлов и строить автоматизированные системы. Библиотека может быть инкорпорирована в большое количество инструментов цифровой криминалистики, а инструменты командной строки могут использоваться напрямую для поиска доказательств.

Поскольку инструменты не полагаются на операционную систему для работы с файловой системой, то показывается удалённое и спрятанное содержимое. Программа работает на платформах Windows и Unix.

DFF (Digital Forensics Framework - цифровой криминалистический фреймворк)

DFF (Digital Forensics Framework - цифровой криминалистический фреймворк) — это криминалистическая компьютерная платформа с открытым исходным кодом, он построен поверх отдельных API. DFF предназначен прийти на замену устаревающим цифровым криминалистическим решениями, используемым сегодня. Созданный для простого использования и автоматизации, интерфейс DFF проводит пользователя через главные шаги цифрового расследования, поэтому он может использоваться как профессионалами, так и не экспертами для быстрого и простого совершения цифровых расследований и реагирования на инциденты.

 

 
Это интересно: