Instal·leu Scalpel (una eina de recuperació del sistema de fitxers) per recuperar fitxers/carpetes suprimits a Linux


Moltes vegades passa que premem majúscules + suprimir per accident o per error als fitxers. Per naturalesa humana, teniu l'hàbit d'utilitzar majúscules + Del en lloc d'utilitzar només l'opció Suprimeix. De fet, vaig tenir aquest incident fa uns dies. Estava treballant en un projecte i vaig desar el meu fitxer de treball en un directori. Hi havia molts fitxers no desitjats en aquest directori i cal suprimir-los permanentment. Així que vaig començar a esborrar-los un per un. Mentre eliminava aquests fitxers, vaig prémer accidentalment Majús per eliminar a un dels meus fitxers importants. El fitxer s'ha suprimit permanentment del meu directori. Em preguntava com recuperar fitxers suprimits i no tenia ni idea de què fer. Gairebé vaig passar molt de temps restaurant el fitxer, però no vaig tenir sort.

Coneixent una mica de coneixement tècnic, sabia com funciona el sistema de fitxers i el disc dur. Quan suprimiu un fitxer accidentalment, el contingut del fitxer no s'elimina del vostre ordinador. S'acaba d'eliminar de la carpeta de la base de dades i no podeu veure el fitxer al directori, però encara roman en algun lloc del vostre disc dur. Bàsicament, el sistema té un punter de llista als blocs del dispositiu d'emmagatzematge que encara té les dades. Les dades no se suprimeixen del dispositiu d'emmagatzematge de blocs tret que i fins que sobreescriu amb un fitxer nou. En aquest punt de vista, vaig anunciar que el meu fitxer suprimit encara podria romandre en algun lloc d'una àrea no indexada del disc dur. Tanmateix, es recomana desmuntar immediatament un dispositiu tan aviat com us adoneu que heu suprimit qualsevol fitxer important. Unmount us ajuda a evitar que els fitxers bloquejats se sobreescriguin amb un fitxer nou.

En aquest escenari no volia sobreescriure aquestes dades, per tant, vaig preferir cercar al disc dur sense muntar-lo.

Normalment a Windows tenim tones d'eines de tercers per recuperar dades perdudes, però a Linux només poques. Tanmateix, faig servir Ubuntu com a sistema operatiu i és molt difícil trobar una eina que recuperi el fitxer perdut. Durant la meva investigació vaig conèixer Scalpel, una eina que s'executa per tot el disc dur i recupera un fitxer perdut. Vaig instal·lar i recuperar amb èxit el meu fitxer perdut amb l'ajuda de l'eina Scalpel. És una eina realment increïble, he de dir.

Això també pot passar amb tu. Així que vaig pensar en compartir la meva experiència amb vosaltres. En aquest article us mostraré com recuperar fitxers suprimits amb l'ajuda de l'eina de bisturí. Així que aquí anem.

Què és l'eina de bisturí?

Scalpel és un sistema de recuperació de fitxers de codi obert per a sistemes operatius Linux i Mac. L'eina visita l'emmagatzematge de la base de dades de blocs i identifica els fitxers suprimits i els recupera a l'instant. A part de la recuperació de fitxers, també és útil per a la investigació forense digital.

Com instal·lar Scalpel a Debian/Ubuntu i Linux Mint

Per instal·lar Scalpel, obriu el terminal fent CTrl + Alt + T des de l'escriptori i executeu l'ordre següent.

$ sudo apt-get install scalpel
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
[email :~$

Instal·lació de Scalpel a RHEL/CentOS i Fedora

Per instal·lar l'eina de recuperació de bisturí, primer heu d'habilitar el repositori epel. Un cop habilitat, podeu fer yum per instal·lar-lo tal com es mostra.

# yum install scalpel
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Un cop instal·lat el bisturí, heu de fer l'edició de text. Per defecte, la utilitat scalpel té el seu propi fitxer de configuració al directori '/etc' i el camí complet és /etc/scalpel/scalpel.conf o /etc/scalpel.conf. Podeu notar que tot està comentat (#). Per tant, abans d'executar scalpel, heu de descomentar el format de fitxer que heu de recuperar. No obstant això, descomenta tot el fitxer requereix molt de temps i generarà resultats falsos enormes.

Diguem, per exemple, que només vull recuperar fitxers '.jpg', així que simplement descomenteu la secció de fitxers '.jpg' per al fitxer de configuració del bisturí.

# GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Aneu al terminal i escriviu la sintaxi següent. El '/dev/sda1' és una ubicació d'un dispositiu des d'on el fitxer ja s'ha suprimit.

$ sudo scalpel /dev/sda1-o output

L'interruptor -o indica un directori de sortida, on voleu restaurar els fitxers suprimits. Assegureu-vos que aquest directori estigui buit abans d'executar qualsevol comanda, en cas contrari, us donarà un error. La sortida de l'ordre anterior és.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Com veieu, ara el bisturí està realitzant el seu procés i trigarà temps a recuperar el fitxer suprimit en funció de l'espai de disc que intenteu escanejar i de la velocitat de la màquina.

Us recomanaria a tots que tingueu l'hàbit d'utilitzar només suprimir en lloc de Maj + Suprimir. Perquè com s'ha dit sempre és millor prevenir que curar.