ホームページ » の仕方 » Ubuntu Live CDを使用してフォレンジックエキスパートのようにデータを回復する

    Ubuntu Live CDを使用してフォレンジックエキスパートのようにデータを回復する

    削除されたファイルを回復するためのユーティリティはたくさんありますが、コンピュータを起動できない場合、またはドライブ全体がフォーマットされている場合はどうなりますか?私たちはあなたに深く掘り下げて、最もとらえどころのない削除されたファイル、さらには全体のハードドライブパーティションを回復するいくつかのツールを紹介します。.

    誤って削除されたファイルを復元する簡単な方法、Ubuntu Live CDから実行できる簡単な方法でも説明しましたが、非常に破損しているハードディスクの場合、これらの方法ではうまくいきません。この記事では、Windows、Linux、またはMacコンピュータ用にフォーマットされているかどうか、またはパーティションテーブルが完全に消去されている場合でも、最も混乱したハードドライブからデータを回復できる4つのツールについて調べます。.

    注:これらのツールは、ハードディスクに上書きされたデータを回復することはできません。削除されたファイルが上書きされたかどうかは多くの要因に左右されます - あなたがファイルを回復したいと思うほど早くあなたがそうすることができるでしょう.

    私たちの設定

    これらのツールを紹介するために、1GBの小型ハードドライブを設定しました。半分のスペースをext2、Linuxで使用されるファイルシステム、そして半分をFAT32(古いWindowsシステムで使用されるファイルシステム)として分割しました。各ハードドライブにランダムな写真を10枚保存しました.

    その後、GPartedでパーティションを削除して、ハードドライブからパーティションテーブルを消去しました。.

    私たちのデータは永遠に失われますか?

    ツールをインストールする

    これから使うツールはすべてUbuntuのものです。 宇宙 リポジトリ.

    リポジトリを有効にするには、左上の[システム]をクリックしてから[管理]> [Synapticパッケージマネージャ]をクリックしてSynapticパッケージマネージャを開きます。.

    [設定]> [リポジトリ]をクリックし、[コミュニティが管理するオープンソースソフトウェア(ユニバース)]というラベルの付いたボックスにチェックマークを付けます。.

    [閉じる]をクリックしてから、Synaptic Package Managerのメインウィンドウで[再読み込み]ボタンをクリックします。パッケージリストが再ロードされ、検索インデックスが再構築されたら、次のパッケージの1つまたはすべてを検索してインストールのマークを付けます。 テストディスク, 一番の, そして メス.

    テストディスク 失われたパーティションを回復してブートセクタを修復できるTestDiskと、さまざまなファイルシステムのトンからさまざまな種類のファイルを回復できるPhotoRecが含まれています。.

    一番, もともとは米国空軍特別捜査局によって開発されたもので、ヘッダーやその他の内部構造に基づいてファイルを回復します。主にさまざまなツールによって生成されたハードドライブやドライブイメージファイルで動作します.

    最後に, メス 最先端の機能と同じ機能を実行しますが、パフォーマンスの向上とメモリ使用量の削減に焦点を当てています。あなたがより少ないRAMでより古いマシンを持っているならば、メスはよりよく動くかもしれません.

    ハードドライブのパーティションを回復する

    ハードドライブをマウントできない場合は、そのパーティションテーブルが破損している可能性があります。あなたがあなたの重要なファイルを回復しようとし始める前に、それはあなたのドライブ上の1つ以上のパーティションを回復することが可能であるかもしれません。.

    テストディスク 仕事のためのツールです。端末を開いて(アプリケーション>アクセサリ>端末)、次のように入力して起動します。

    sudoのテストディスク

    ログファイルを作成することもできますが、回復するデータ量には影響しません。あなたが選択したら、あなたはあなたのマシン上の記憶媒体のリストで迎えられます。あなたはあなたがそのサイズとラベルによってあなたがそこからパーティションを回復したいハードドライブを識別することができるはずです.

    TestDiskは、検索するパーティションテーブルの種類を選択するよう求めます。ほとんどの場合(ext2 / 3、NTFS、FAT32など)、Intelを選択してEnterキーを押す必要があります。.

    Analyzeを強調表示してEnterを押す.

    私たちの場合、私たちの小さなハードドライブは以前NTFSとしてフォーマットされていました。驚くべきことに、それを回復することはできませんが、TestDiskはこのパーティションを見つけます.

    削除した2つのパーティションも見つかります。属性を変更したり、パーティションを追加したりすることはできますが、Enterキーを押してそれらを回復します。.

    TestDiskがすべてのパーティションを見つけられなかった場合は、左右の矢印キーでそのオプションを選択することによって、より深い検索を試すことができます。これら2つのパーティションしかなかったので、Writeを選択してEnterを押すことでそれらを回復します。.

    テストディスクは再起動する必要があることを知らせてくれます.

    注意:Ubuntu Live CDが消えない場合は、再起動したときに以前にインストールしたツールを再インストールする必要があります。.

    再起動後、両方のパーティションは元の状態、写真、そしてすべての状態に戻ります。.

    特定の種類のファイルを回復する

    次の例では、両方のパーティションから10枚の写真を削除し、それらを再フォーマットしました。.

    PhotoRec

    これから紹介する3つのツールのうち, PhotoRec コンソールベースのユーティリティであるにもかかわらず、最もユーザーフレンドリーです。ファイルの回復を開始するには、端末を開き([アプリケーション]> [アクセサリ]> [端末])、次のように入力します。

    スードフォトレック

    はじめに、検索するストレージデバイスを選択するように求められます。あなたはその大きさとラベルによって正しい装置を識別することができるはずです。適切なデバイスを選択して、Enterキーを押します。.

    PhotoRecは検索するパーティションの種類を選択するように求めます。ほとんどの場合(ext2 / 3、NTFS、FATなど)、Intelを選択してEnterキーを押す必要があります。.

    選択したハードドライブのパーティションの一覧が表示されます。パーティション上のすべてのファイルを復元したい場合は、[検索]を選択してEnterキーを押します。.

    ただし、このプロセスは非常に遅くなる可能性があります。この場合は、写真ファイルのみを検索する必要があるため、右矢印キーを使用して[ファイルオプション]を選択し、Enterキーを押します。.

    PhotoRecはさまざまな種類のファイルを復元できますが、それぞれの選択を解除するには長い時間がかかります。代わりに、「s」を押してすべての選択をクリアしてから、適切なファイルタイプ(jpg、gif、およびpng)を見つけ、右矢印キーを押してそれらを選択します。.

    これら3つを選択したら、「b」を押してこれらの選択を保存します。.

    Enterキーを押してハードドライブパーティションのリストに戻ります。両方のパーティションを検索したいので、「パーティションなし」と「検索」を強調表示してEnterキーを押します。.

    PhotoRecは、回復したファイルを保存する場所の入力を求めます。あなたが別の健康的なハードドライブを持っているならば、それから我々はそこに回復されたファイルを保存することを勧めます。あまり回復していないので、Ubuntu Live CDのデスクトップに保存します。.

    注:あなたが回復しているハードドライブにファイルを回復しないでください.

    PhotoRecは私達のハードドライブのパーティションから20枚の写真を復元することができます!

    作成されたrecup_dir.1ディレクトリを簡単に見ると、PhotoRecがすべての写真を復元したことが確認され、ファイル名は保存されています。.

    一番

    最も重要なのは、PhotoRecのようなインタラクティブなインターフェイスを持たないコマンドラインプログラムですが、可能な限り多くのデータを取得したドライブから取得するためのコマンドラインオプションを多数提供します。.

    コマンドラインで微調整できるオプションの全リストを見るには、ターミナルを開き(Applications> Accessories> Terminal)、次のように入力する。

    何よりも

    私たちの場合、使用するコマンドラインオプションは次のとおりです。

    • -検索するファイルの種類をカンマで区切ったリスト。私たちの場合、これは“ jpeg、png、gif”です。.
    • -v、冗長モードを有効にして、最も重要なことについての詳細な情報を提供します。.
    • -o、回復されたファイルを保存するための出力フォルダ。この例では、デスクトップに "foremost"というディレクトリを作成しました。.
    • -私は、ファイルを検索する入力です。これはいくつかの異なるフォーマットのディスクイメージです。しかし、私たちはハードディスク、/ dev / sdaを使います。.

    私たちの一番の呼び出しは次のとおりです。

    sudo最前線-t jpeg、png、gif -o最前面-v -i / dev / sda

    呼び出しは、探しているものと探している場所によって異なります。.

    一番上は、ハードドライブに保存されている20のファイルのうち17を回復することができます.

    ファイルを見ると、00622449.jpgのサムネイルにいくつかのエラーが見られるが、これらのファイルが比較的うまく回復されたことを確認することができる.

    これの一部はext2ファイルシステムが原因かもしれません。 ext2のようなLinuxファイルシステムには-dコマンドラインオプションを使用することをお勧めします。.

    最初の呼び出しに-dコマンドラインオプションを追加して、もう一度最初に実行します。

    sudo foremost - t jpeg、png、gif - d - o foremost - v - i / dev / sda

    今回は、まず20枚すべての画像を復元することができます!

    写真を最後に見ると、写真は問題なく復元されたことがわかります。.

    メス

    ScalpelはForemostのように大きく設定可能なもう一つの強力なプログラムです。 Foremostとは異なり、Scalpelはデータの回復を試みる前に設定ファイルを編集する必要があります。.

    どのテキストエディタでも構いませんが、geditを使って設定ファイルを変更します。端末ウィンドウ(アプリケーション>アクセサリ>端末)で、次のように入力します。

    sudo gedit /etc/scalpel/scalpel.conf

    scalpel.confには、さまざまな種類のファイルに関する情報が含まれています。このファイルをスクロールして、回復するファイルの種類で始まる行のコメントを外します(つまり、それらの行の先頭にある「#」文字を削除します)。.

    ファイルを保存して閉じます。ターミナルウィンドウに戻る.

    Scalpelにはコマンドラインオプションがたくさんあり、すばやく効果的に検索することができます。ただし、入力デバイス(/ dev / sda)と出力フォルダー(デスクトップ上に作成した「scalpel」というフォルダー)を定義するだけです。.

    私たちの呼び出しは次のとおりです。

    sudoメス/ dev / sda -oメス

    Scalpelは私達の20のファイルのうちの18を回復することができます.

    scalpelが回復したファイルを簡単に見ると、問題があるにもかかわらず、ほとんどのファイルが正常に回復されたことがわかります(例:00000012.jpg)。.

    結論

    私たちの簡単な例では、TestDiskは2つの削除されたパーティションを復元することができ、PhotoRecとForemostは20の削除されたイメージすべてを復元することができました。 Scalpelはほとんどのファイルを復元しましたが、scalpelのコマンドラインオプションを使用して再生すると、20個すべての画像を復元できた可能性が非常に高いです。.

    これらのツールは、ハードドライブに問題が発生したときの命の恩人です。あなたのデータがどこかのハードドライブにある場合は、これらのツールの1つがそれを追跡します。!

    任意のバージョンのWindows Vistaでシャドウコピーを含むファイルを回復する
    Firefoxで失われたフォームデータを回復する
    デスクトップの動画を任意のOSで無料で録画
    次の記事
    Ubuntu Live CDからNTFSハードドライブ上の削除されたファイルを回復する
    前の記事
    Asciinemaを使ってコマンドラインセッションを記録する