Settu upp Scalpel (A Filesystem Recovery Tool) til að endurheimta eyddar skrár/möppur í Linux
Oft gerist það að við ýtum óvart eða fyrir mistök á „shift + delete“ í skrár. Af mannlegu eðli hefurðu það fyrir sið að nota „shift + Del“ í stað þess að nota aðeins „Delete“ valmöguleikann. Ég lenti reyndar í þessu atviki fyrir nokkrum dögum síðan. Ég var að vinna í verkefni og vistaði vinnuskrána mína í möppu. Það voru margar óæskilegar skrár í þeirri möppu og þarf að eyða þeim varanlega. Svo ég byrjaði að eyða þeim einn af öðrum. Þegar ég eyddi þessum skrám ýtti ég óvart á „shift delete“ í eina af mikilvægu skránum mínum. Skránni var eytt varanlega úr möppunni minni. Ég var að spá í hvernig á að endurheimta eyddar skrár og hafði ekki hugmynd um hvað ég ætti að gera. Ég eyddi næstum miklum tíma í að endurheimta skrána en heppnaðist ekki.
Með því að þekkja smá tæknilega þekkingu vissi ég um hvernig skráarkerfi og HDD virka. Þegar þú eyðir skrá fyrir slysni verður innihaldi skrárinnar ekki eytt úr tölvunni þinni. Það er bara fjarlægt úr gagnagrunnsmöppunni og þú getur ekki séð skrána inn í möppuna, en hún er samt áfram einhvers staðar á harða disknum þínum. Í grundvallaratriðum er kerfið með listabendingu á blokkir á geymslutækinu sem hefur enn gögnin. Gögnunum er ekki eytt úr blokkageymslutækinu nema og þar til þú skrifar yfir með nýrri skrá. Á þessu sjónarhorni gaf ég út að eyddar skráin mín gæti enn verið einhvers staðar á óverðtryggðu svæði á harða disknum. Hins vegar er mælt með því að aftengja tæki strax og þú áttar þig á því að þú hefur eytt mikilvægum skrám. Unmount hjálpar þér að koma í veg fyrir að lokaðar skrár verði skrifaðar yfir með nýrri skrá.
Í þessari atburðarás vildi ég ekki ofrita þessi gögn, þess vegna valdi ég að leita á harða disknum án þess að setja hann upp.
Venjulega í Windows fáum við fullt af verkfærum frá þriðja aðila til að endurheimta glatað gögn, en í Linux aðeins fáum. Hins vegar nota ég Ubuntu sem stýrikerfi og það er mjög erfitt að finna tól sem endurheimtir glataða skrá. Meðan á rannsókninni stóð kynntist ég „Scalpel“ tól sem keyrir í gegnum allan harða diskinn og endurheimtir týnda skrá. Ég setti upp og endurheimti týnda skrána mína með hjálp Scalpel tólsins. Það er virkilega ótrúlegt tæki verð ég að segja.
Þetta getur líka gerst hjá þér. Svo mér datt í hug að deila reynslu minni með þér. Í þessari grein mun ég sýna þér hvernig á að endurheimta eyddar skrár með hjálp scalpel tólsins. Svo hér við förum.
Hvað er Scalpel Tool?
Scalpel er opinn uppspretta skráakerfis endurheimt fyrir Linux og Mac stýrikerfi. Tólið heimsækir gagnagrunnsgeymsluna og auðkennir eyddar skrár úr henni og endurheimtir þær samstundis. Fyrir utan skráarendurheimt er það einnig gagnlegt fyrir stafræna réttarrannsókn.
Hvernig á að setja upp Scalpel í Debian/Ubuntu og Linux Mint
Til að setja upp Scalpel skaltu opna flugstöðina með því að gera „CTrl+Alt+T“ frá skjáborðinu og keyra eftirfarandi skipun.
$ sudo apt-get install scalpel
Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: scalpel 0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded. Need to get 0 B/33.9 kB of archives. After this operation, 118 kB of additional disk space will be used. Selecting previously unselected package scalpel. (Reading database ... 151082 files and directories currently installed.) Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ... Processing triggers for man-db ... Setting up scalpel (1.60-1build1) ... [email :~$
Setur upp Scalpel í RHEL/CentOS og Fedora
Til að setja upp scalpel bata tól þarftu fyrst að virkja epel repository. Þegar það hefur verið virkt geturðu gert „nammi“ til að setja það upp eins og sýnt er.
# yum install scalpel
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: centos.01link.hk * epel: mirror.nus.edu.sg * epel-source: mirror.nus.edu.sg Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package scalpel.i686 0:2.0-1.el6 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================================== Installing: scalpel i686 2.0-1.el6 epel 50 k Transaction Summary ========================================================================================================================================================== Install 1 Package(s) Total download size: 50 k Installed size: 108 k Is this ok [y/N]: y Downloading Packages: scalpel-2.0-1.el6.i686.rpm | 50 kB 00:00 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Installing : scalpel-2.0-1.el6.i686 1/1 Verifying : scalpel-2.0-1.el6.i686 1/1 Installed: scalpel.i686 0:2.0-1.el6 Complete!
Þegar skurðarhnífurinn hefur verið settur upp þarftu að breyta texta. Sjálfgefið er að scalpel tólið hefur sína eigin stillingarskrá í '/etc' möppunni og full slóð er /etc/scalpel/scalpel.conf eða /etc/scalpel.conf. Þú getur tekið eftir því að allt er skrifað út (#). Svo áður en þú keyrir skurðarhníf þarftu að afskrifa skráarsniðið sem þú þarft að endurheimta. Hins vegar að afskrifa alla skrána er tímafrekt og mun gefa gríðarlegar rangar niðurstöður.
Segjum til dæmis að ég vilji endurheimta aðeins '.jpg' skrár, svo einfaldlega afskrifaðu '.jpg' skráarhlutann fyrir hnífsvörðinn stillingarskrána.
# GIF and JPG files (very common)
gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9Farðu í terminal og skrifaðu eftirfarandi setningafræði. „/dev/sda1“ er staðsetning tækis þar sem skránni er þegar eytt.
$ sudo scalpel /dev/sda1-o output
„-o“ rofinn gefur til kynna framleiðslumöppu þar sem þú vilt endurheimta eyddar skrár. Gakktu úr skugga um að þessi mappa sé tóm áður en þú keyrir einhverja skipun annars mun hún gefa þér villu. Úttak ofangreindrar skipunar er.
Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/dev/sda1" Image file pass 1/2. /dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA
Eins og þú sérð er skurðhnífurinn nú að framkvæma ferlið sitt og það mun taka tíma að endurheimta eyddu skrána þína, allt eftir plássinu sem þú ert að reyna að skanna og hraða vélarinnar.
Ég myndi mæla með því að þið öll hafið það fyrir vana að nota aðeins delete í stað „Shift + Delete“. Því eins og sagt er að forvarnir séu alltaf betri en lækning.