потребность восстановить данные из жесткого диска данных, на котором я использовал испытательный стенд в моей попытке восстановить mbr от вируса руткита

Question 1

Прежде чем я начну говорить, что моя ситуация здесь, знайте, что я был бы НАВСЕГДА БЛАГОДАРЕН за любого, кто может выручить меня с этой путаницей. У меня есть фотографии на здесь с лет и лет кропотливой работы. Я - полупро фотограф, и мой жесткий диск содержит примерно 1,5 ТБ данных из фотографий. Плюс 100 ГБ моей всей музыкальной библиотеки, и весь мой DVD я занял время для добавления подсказки на моем жестком диске. Но мои фотографии - то, чем я больше всего обеспокоен, они не заменимы.

Теперь вот короче говоря то, что произошло: у Меня всегда было резервное копирование моих данных с помощью backblaze, который является резервным копированием онлайн для окон. Я решил приблизительно 3 месяца назад, что я хотел получить сервер, идущий для моих файлов с помощью plex, и решил, что Ubuntu была лучшим способом пойти. Таким образом, я использовал этот резервный метод с помощью чего-то позвонившего "greyhole" и в процессе установки (2) жесткие диски на 2 ТБ и (1) жесткий диск, на 1 ТБ на этом greyhole копирует программу.

Затем это - когда я получил руткит. Эта вещь была противна, и я думаю после 2 месяцев о попытке всего, я должен был повторно высветить свою BIOS и ВСЕ ЕЩЕ имел этот вирус. Я должен был переформатировать все свои жесткие диски и создал резервную копию всего на 1 жестком диске, заполняющем его почти полностью (жесткий диск на 2 ТБ). Я все еще не избавился от этого вируса, это было невероятно. В конечном счете я поймал его. Это было встроено в мою сетевую плату Ethernet. Любой читающий это должен принять во внимание, что что-либо встроенное там может и заражать Ваш маршрутизатор, всю Вашу LAN, и оставаться на Вашем компьютере даже посредством перевысвечивания самой BIOS!

Во всяком случае после того, как я, казалось, избавился от вещи, у меня все еще были свои файлы на моем жестком диске. Я не хотел повторно заражать свои машины, таким образом, я пытался переписать MBR с помощью утилиты, названной испытательным стендом.

БОЛЬШАЯ ОШИБКА

У меня не было подсказки, что я делал. И теперь я не могу считать свою информацию!

Вот хорошие новости? После того, как испытательный стенд сделал это - вещь (который состоял из меня analysizing диск и использование команды WRITE, чтобы нанести ущерб, только потребовалась 1 секунда для него, чтобы быть сделанным. Значение - я не сидел посредством 5-часового процесса записи 0 на диске с "dd". Это была быстрая небольшая вещь, которую я сделал. Так по этой причине я думаю, что данные все еще должны быть на диске.

Вот то, что я знаю:

диск является диском данных, никакой ОС. Я использовал человечность в качестве ОС на другом диске.
отформатированный как ext3 или ext4
размер = 2 ТБ
файлы = незаменимый, моя вся жизненная работа - никакое преувеличение.

Также - backblaze больше не имеет моих файлов, потому что это были более чем 30 дней. Я переписал все свои другие резервные копии с 0 из-за руткита. Этот жесткий диск был и является единственным источником моих файлов в то время, когда это произошло. Одновременно это - единственное время, которым я много лет был без резервного копирования.

Вот скопировать/вставить fdisk-l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

И lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Помогите тому, что я могу сделать? Я боюсь завинчивания его снова с испытательным стендом. Я просто хочу восстановить файлы. Я не вижу, как их не стало.

Огромное спасибо

Question 2

Попробуйте Recuva от Piriform (создатель CCleaner ). Инструмент бесплатный. С v1.51.1063 добавлена поддержка ext2 & amp; файловые системы ext3.

Инструмент сканирует диск и пытается восстановить отдельные файлы, которые были удалены с диска. Этот инструмент сохранил критически важные данные для нескольких людей, которых я знаю, чья деятельность зависела от их данных (то есть данных Quickbooks) после того, как они потеряли все на сильно поврежденном диске или отформатировали диск.

Я знаю, что Recuva - это инструмент, доступный только в Windows и Mac, но теперь этот инструмент можно использовать в типичных форматах файловых систем Linux, поэтому я подумал, что эта информация полезна здесь в Ubuntu Q & amp; Сайт; особенно в качестве решения вопроса (хотя, я уверен, что он / она уже нашел решение).

Question 3

Question 4

Дайте "extundelte" попытку восстановить ваши файлы

Question 5

Я считаю, что, помимо прочего, testdisk должен работать как инструмент для восстановления ваших данных. Тем не менее, прежде всего - прежде чем делать что-то еще, вы должны защитить свою последнюю копию данных. Во-первых, только монтируйте его только для чтения. (Вы можете перемонтировать его с помощью опции ro, см. man mount)

Я предлагаю взять себе большой (> 2 ТБ) диск и скопировать полный образ вашего текущего диска: dd if=/dev/sda of=disk-image.dd где / dev / sda - это ваш только для чтения, смонтированный на всех важных дисках, а disk-image.dd - это файл на новом диске, убедитесь, что на нем свободно 2 ТБ.

testdisk также будет работать с изображением и сможет сортировать таблицу разделов. Возвратитесь с вопросами и комментариями, и мы можем взять это отсюда ...

Хорошее место, чтобы начать читать здесь: http://epyxforensics.com/node/36 В этом пошаговом руководстве все начинается с создания копии dd, как я предлагал выше, и продолжает работать над копия.

У вас есть экзаменационный компьютер с тестовым диском, gparted и, возможно, hexedit?

Question 6

Для восстановления данных из изображения на внешней Карте памяти вот, необходимые шаги:

Прекратите использовать поврежденный диск.
Имейте внешний диск (диски) готовое содержание дважды сумма данных от размера Вашего поврежденного диска. Формат с файловой системой, которая в состоянии содержать такой большой файл, как будет создан из исходного диска (например, ext4)
Загрузитесь Ubuntu от живой сессии ("Пробуют Ubuntu").
Смонтируйте свой внешний диск с помощью Наутилуса.
Проверьте точку монтирования своего внешнего диска.
например, со Свойствами-> Местоположение в меню правой кнопки.
Проверьте местоположение своего поврежденного диска с любой из этих команд в терминале
```
sudo fdisk -l
sudo blkid
```
Создайте изображение своего поврежденного диска
```
sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
```
Замена sdX с Вашим поврежденным диском (например. sda) или раздел (например. sda1). Замена /mountpoint/DRIVENAME/ с фактическим путем, где Ваша Карта памяти была смонтирована.

_{Только в случае, если Ваш поврежденный диск (sdX) равно размер Вашего внешнего диска (sdY) Вы можете клонировать диск (sudo dd if=/dev/sdX of=/dev/sdY) выполнить спасение данных на клонированном внешнем диске. Однако, работа над изображением как показано выше является намного более безопасным подходом.}

Очень важно в этой точке добраться dd управляйте правильно. Если Вы дали неправильную запись в of= можно повредить все данные, которые существовали там.
Установите TestDisk в своей живой системе, как был далее разработан в моем ответе ниже:
- Как я восстанавливаю свои случайно потерянные разделы Windows после установки Ubuntu?
Прочитайте потрясающее и краткое руководство от производителей TestDisk для восстановления.
В случае, если Ваш диск огромен, смонтируйте другой диск/раздел содержать восстановленные данные. Отметьте эту точку монтирования испытательным стендом.
Выполненный испытательный стенд на изображении Вашего диска:
```
cd /mountpoint/DRIVENAME/
sudo testdisk rescue.dd
```
Сохраните восстановленные каталоги, и файлы к Вашему резервному диску/partiton (дайте испытательному стенду точку монтирования этого диска как место хранения в случае, если это отличается туда, где изображение).
Проверьте, что Ваши данные там.
Размонтируйте все диски или завершите работу живой сессии.

В случае, если мы не успешно выполнились для восстановления наших файлов, мы можем также выполнить PhotoRec, который был установлен вместе с комплектом TestDisk для восстановления отдельных файлов (но затем полномочия имен файлов, и каталоги будут потеряны).

Ваш поврежденный диск все еще является нетронутым. Мы можем даже позволить этому диску быть восстановленным профессиональным сервисом в случае, если мы перестали работать с вышеупомянутыми шагами.

tlovely · Answer 1 · 5 January 2016 в 23:21