Foremost linux как пользоваться

Обновлено: 06.07.2024

Часто ли вы сталкивались с ситуациями когда нужно было восстановить данные?

Вы случайно удалили файла, но когда было уже поздно одумались, но не знали как восстановить, как вариант устанавливали операционную систему и по незнанию разметки дисков, отформатировали диск с всеми данными, музыка, фильмы, домашние фото и прочие другие данные. Вы в отчаянии не зная можно ли восстановить восстанавливали все по крупицам, но это лишь малейшая часть решения последствий проблемы которая возникла, данные в Linux можно восстановить и для этого есть утилиты, как платные так и бесплатные и сегодня мы обсудим 7 утилит которые помогут в восстановлении данных в Ubuntu Linux.

Кроме случаев ошибочного удаления данных возможны ситуации, когда оказывается испорчен носитель, появились поврежденные сектора на диске, поцарапан CD и так далее. В таких ситуациях тоже бывают нужны средства восстановления данных.

Очень часто при работе на компьютере, нет разницы в какой операционной системы бы вы работали, хоть Windows или Linux, вы всегда сталкиваетесь с тем, что удаляете файлы. Конечно, удаление это пол беды, но бывают такие ситуации, что вы устанавливаете систему и по незнанию отформатируете жесткий диск с всеми данными, это уже полная трагедия, в те далекие времена когда мне купили компьютер я подобное проделал несколько раз, думаю и среди вас много таких же счастливчиков, после по друзьях ходишь и как-то восстанавливаешь свой архив приложений, музыки и прочих файлов так как компьютер совершенно чист, я в те далекие еще пользовался CD/DVD, это частично спасало ситуацию так как хоть какой запас приложений я всегда сохранял, так сказать на черный день именно на такие ситуации или же поделиться с друзьями.

восстанавливаем данные в Linux

Частично конечно это все помогало, но большая часть данных все же была утеряна, а представьте ситуацию, вы студент, готовите курсовую, остается неделя либо две до сдачи, а у вас полетел жесткий диск на котором была ваша курсовая, как поступить в данной ситуации.

Знаю, многие пользователи привыкли с времен работы на системе от мелкомягких работать с графическим интерфейсом, но мы сегодня обсудим так же и консольные утилиты так как многие из них помогают в восстановлении не хуже, а в некоторых ситуациях даже лучше.

Как восстановить данные и какими приложениями воспользоваться?

Как восстановить утерянные данные с помощью TestDisk

Что может TestDisk:

  • Исправлять таблицу разделов, восстанавливать удаленные разделы;
  • Восстанавливать загрузочный сектор FAT32 из резервной копии;
  • Перестраивать (реконструировать) загрузочный сектор FAT12/FAT16/FAT32;
  • Исправлять таблицу FAT;
  • Перестраивать (реконструировать) загрузочный сектор NTFS;
  • Восстанавливать загрузочный сектор NTFS из резервной копии;
  • Восстанавливать MFT использую MFT зеркало;
  • Определять резервный SuperBlock ext2/ext3/ext4;
  • Восстанавливать удаленные файлы на файловых системах FAT, NTFS and ext2;
  • Копировать файлы с удалённых FAT, NTFS and ext2/ext3/ext4 разделов.
  • TestDisk подойдёт и для новичков, и для экспертов. Для тех, кто знает мало или вообще ничего не знает о методах восстановления данных, TestDisk может быть использован для сбора детальной информации о не загружающихся дисках которая затем может быть использована для дальнейшего анализа. Те, кто уже знаком с такими процедурами, должен найти TestDisk удобным инструментом при выполнении восстановления.

Чтобы попробовать восстановить данные, прежде всего установим утилиту testdisk, откройте терминал Ctrl + Alt + T и выполним следующую команду:

утилита занимает что-то чуть больше 300 кб, очень мало, после установки запустим ее там же в терминале командой:

Запускаем утилиту tesdisk
Отказываемся от ведения логов

Выбираем тип таблицы разделов

Анализируем флешку на данные которые можно восстановить
Выбираем пункт Quick Search, готовим диск к анализу на обнаружение файлов которые были удалены
Завершилось сканирование флешки, смотрим результаты нажав на кнопку "P"

Выбираем директорию для восстановления

6. Видим как бы список файлов и папок, что можно восстановить, с помощью стрелочек на клавиатуре переключаем и выбираем нужные папки и файлы для копирования.

Выбираем директорию куда скопировать восстановленные файлы с помощью testdisk
Копирование восстановленных файлов завершено с помощью tesdisk

Как восстановить данные с помощью утилиты Extundelete

Хорошая утилита, позволяет восстановить удаленные файлы в файловых системах ext3/ext4.

Прежде всего установим утилиту extundelete, выполните в терминале команду:

Прежде всего после того как вы удалили с флешки или жесткого диска важные файлы, в данном случае важно сразу же отмонтировать раздел, выполнив в терминале команду:

где вместо id должен быть номер/идентификатор вашего диска, что узнать его нужно посмотреть список разделов в системе, выполним в терминале команду:

в итоге мы увидим много текста, но мотаем в самый низ где вы увидите что-то подобное:

вот здесь ищем вашу флешку или диск, у меня в результате команда получается такой:

Выбираем раздел для восстановления в GParted

если не определилась флешка в данном списке, ее можно увидеть запустив утилиту GParted.

Так же как вариант перемонтировать носитель в режиме «только чтение»

Так же следует создать резервную копию раздела прежде, чем начинать с ним работу по восстановлению файлов:

Так же стоит добавить, у вас должен быть отдельный диск в который вы будете восстанавливать удаленные данные. Он обязательно должен располагаться на отдельном разделе не на том, на котором мы попытаемся восстановить данные, перейдите в директорию на этом новом диске куда будем восстанавливать файлы:

После манипуляций выше, запустим утилиту extundelete, где укажем раздел, с которого мы будет восстанавливать файл который был удален, но он очень важен и требует восстановления:

Утилита extundelete так же позволяет восстанавливать содержимое каталогов:

Можно задать для восстановления рамки по времени удаления восстанавливаемых файлов, например так:

Дату необходимо указывать в UNIX-времени:

Восстановление данных с помощью утилиты GParted

Да, это мощная утилита для управления дисками, аналог Acronics, ничем не хуже и так же позволяет восстанавливать данные с дисков, чтобы можно было восстанавливать, прежде всего, давайте установим саму утилиту GParted, выполните в терминале команду:

после нужно установить дополнительную утилиту к GParted чтобы можно было пользоваться функционалом восстановления данных, в терминале выполните команду:

Выбираем раздел для восстановления и само восстановление данных
Ищем файловые системы и файлы для восстановления

Как восстановить фото с помощью утилиты Foremost

Чтобы воспользоваться утилитой Foremost, прежде всего ее нужно установить, откройте терминал Ctrl + Alt + T и выполним следующие команды:

далее чтобы попытаться восстановить утерянные фото данные, выполним в терминале команду следующего вида:

Как восстановить данные с помощью утилиты Scalpel

Установим утилиту, выполните в терминале команду:

утилита работает по своему внутреннему шаблону /etc/scalpel/scalpel.conf, если вы хотите восстановить файлы определенного формата, стоит открыть конфиг и раскомментировать соответствующие строки для данного типа файлов. При редактировании шаблона конфига нужно быть очень осторожным чтобы не нарушить его и не удалить чего лишнего.

Пример использования Scalpel:

Как восстановить данные с помощью R-Linux

R-Linux является бесплатной программой для восстановления файловых систем Ext2/Ext3/Ext4 FS, используемых в Linux и некоторых Unix операционных системах (ОС). Используемая в R-Linux Технология Сканирования и удобный в установке параметров интерфейс программы дают пользователю абсолютный контроль над процессом восстановления данных. Программа восстанавливает данные с существующих логических дисков, даже если записи файлов утрачены. Однако, в программе отсутствует возможность восстановления данных по сети, а также функциональность по реконструкции дисковых массивов и восстановления с них данных.

Есть два варианта утилиты R-Linux: для ОС Linux и для ОС Windows. Они имеют одинаковую функциональность, разница состоит лишь в ОС хоста.

R-Linux восстанавливает следующие файлы:

  • Удаленные в результате вирусной атаки, сбоя питания или повреждения системы;
  • С поврежденных или удаленных разделов, после форматирования раздела, даже в раздел с другой файловой системой;
  • Когда структура раздела на диске была изменена или повреждена. В этом случае R-Linux может отсканировать жесткий диск, найти ранее удаленный или поврежденный раздел, а уже затем восстановить данные с найденного раздела.
  • С жестких дисков, на которых имеется большое число поврежденных секторов. R-Linux позволяет скопировать информацию и создать образ целого диска или его части, а уже затем работать с файлом образа, сохраненным на другом носителе, как с оригинальным диском. Это особенно полезно и эффективно, когда число поврежденных секторов на диске постоянно растет, и необходимо немедленно сохранить оставшуюся информацию.

Что может R-Linux:

Если вам что-то не понятно по приложению, вы можете ознакомиться с справочным руководством по ссылках здесь / здесь руководство достаточно обширное, найдете ответы на многие вопросы.

Как установить R-Linux

Как видите, нам предлагают более детально настроить параметры сканирования, искать ли по известных типах файлов, вести ли журнал, где конкретно искать, позволяется указать с какого отрезка байтов стоит начинать сканирование, с 0 по стандарту или же указать свои данные.

Cканирование начато, ждем пока завершится, не отменяем ни в каком случае, иногда это может плохо кончиться для флеш-носителя. Сканирование завершено, далее мы видим следующую картинку:

Как восстановить данные с помощью утилиты R-Studio

Платная утилита, но она того стоит так как выручит даже из самых сложных ситуаций.

Продвинутая утилита, лучшая с утилит для восстановления данных, работает с файловыми системами NTFS, NTFS5, ReFS, FAT12/16/32, exFAT, HFS/HFS+ (Macintosh), Little and Big Endian variants of UFS1/UFS2 (FreeBSD/OpenBSD/NetBSD/Solaris) и Ext2/Ext3/Ext4 FS (Linux). В R-Studio также используется восстановление файлов по сигнатурам (поиск при сканировании файлов известных типов) для сильно поврежденных или неизвестных файловых систем. Программа позволяет восстанавливать данные как локально, так и на удаленных компьютерах по сети, даже если разделы дисков были форматированы, повреждены или удалены.

В состав R-Studio входят:

  • Модуль реконструкции RAID
  • Универсальный текстовый/шестнадцатиричный редактор, обладающий широким диапазоном возможностей
  • Отдельный модуль резервного копирования системы и данных (копирования диска), что позволяет считать R-Studio наиболее оптимальным и полным решением при создании рабочей станции для восстановления данных.

R-Studio восстанавливает файлы:

  • Удаленные вне Корзины или когда Корзина была очищена;
  • Удаленные вирусной атакой или сбоем питания компьютера;
  • После того, как раздел с файлами был переформатирован, даже в раздел с другой файловой системой;
  • Когда структура раздела на жестком диске были изменена или повреждена. В этом случае с помощью программы R-Studio можно отсканировать жесткий диск, найти удаленный или поврежденный раздел, а уже потом восстановить данные с найденного раздела.
  • С жестких дисков, на которых имеется большое число поврежденных секторов. Программа восстановления R-Studio может сначала скопировать информацию и создать образ целого диска или его части, а уже затем работать с файлом образа, сохраненным на другом носителе, как с оригинальным диском. Это особенно полезно и эффективно, когда число поврежденных секторов на диске постоянно растет, и необходимо немедленно сохранить оставшуюся информацию.
  • Приказом Министерства юстиции РФ от 26 ноября 2015 г. № 269, R-STUDIO была включена в список требований к минимальной комплектации материально-технической базы по нескольким видам судебных экспертиз проводимых в федеральных бюджетных судебно-экспертных учреждениях Министерства юстиции Российской Федерации.

Что может утилита R-Studio:

В заключении пару видео про R-Studio:

Также для восстановления информации есть и еще утилиты:

Кроме перечисленных в некоторых статьях упоминаются также утилиты Magicrescue и ntfsundelete из пакета ntfstools.

Этот список может вам очень пригодиться, если вы попадете в ситуацию, когда требуется восстановить данные с поврежденного носителя. И желательно освоить хотя бы некоторые из этих инструментов до того, как возникнет острая необходимость в их применении. Для этого имеет смысл протестировать их на искусственных примерах удаления файлов, как это сделано в одной из заметок, приведенных в списке источников.

В заключение несколько советов, может быть тривиальных, но зато безусловно полезных, относительно того, как попытаться избежать попадания в неприятную ситуацию, когда требуется применение перечисленных выше средств. Во-первых, можно сделать так, чтобы случайно удалить файл или каталог было сложнее. Для этого сделайте так, чтобы вместо команды rm вызывалась команда rm -i. Сделать это можно с помощью команды alias следующим образом:

Тогда перед выполнением удаления вам будет задан дополнительный вопрос, действительно ли вы этого хотите.

Второй совет: делайте резервные копии своих данных как можно чаще, каждый день или даже каждый час. Если следовать этому совету, то в самом плохом случае вы потеряете только те результаты своей работы, которые получили в течение последнего часа. Да и процедуры восстановления данных в таком случае выполнить будет гораздо проще. Автоматизировать выполнение этих процедур можно с помощью cron-а и утилиты rsync, организовав периодическое копирование важных файлов и каталогов на другой диск или раздел. А можно использовать упомянутую выше утилиту Mondo Rescue. Кстати, вы освоите ее применение, что может оказаться полезным в случае возникновения необходимости восстановления данных в чрезвычайной ситуации.

Нелишне напомнить также, что существуют специальные дистрибутивы Linux, запускающиеся с CD или других съмных носителей и содержащие наботы утилит администрирования, в том числе и инструменты восстановления данных. В качестве примера таких дистрибутивов можно упомянуть SystemRescue CD и Trinity Rescue Kit.

В данной статье пойдет речь о Foremost - удобном и достаточно простом в использовании инструменте для восстановления файлов.

Вместо вступления в сегодняшней статье будет предупреждение. Следующий абзац слишком важен, чтобы помещать его где-либо, кроме начала. Пожалуйста, прочтите его очень внимательно и сделайте правильный выбор.

Восстановление данных в домашних условиях чревато их окончательной потерей.

Если удаленная или другим способом утраченная информация очень важна, ни в коем случае не пытайтесь спасти ее самостоятельно. Немедленно обесточьте компьютер и отнесите его в сервисный центр, заслуживающий доверия. Стандартный способ выключения лучше не использовать: при выключении операционная система может выполнять запись на диск и попасть именно на те блоки устройства, где хранятся части ваших файлов.

Общие принципы и правила.

Возможно, вы уже знаете, что удаленные данные не исчезают сразу же после того, как вы очистили корзину или выполнили быстрое форматирование. Они лишь отмечаются как удаленные, а занимаемое ими место считается свободным. Физически они будут уничтожены только тогда, когда потребуется что-либо записать на это место. Кроме того, что такой подход позволяет вернуть утраченные файлы, он полезен еще и тем, что продлевает срок жизни диска и ускоряет удаление.

Из этого вытекает простое правило: по возможности ничего не записывать на устройство, с которого планируется что-либо извлекать. Загружать с него ОС тоже не стоит. Самый оптимальный вариант — сделать образ диска и работать с ним. Существует большое количество программ, позволяющих сделать полную копию содержимого диска. Одна из самых простых и доступных — dd. В крайнем случае хотя бы записывайте восстановленные данные на другой раздел.

Небольшая утилита, присутствующая в репозитории Ubuntu. Согласно инструкции, foremost разрабатывали государственные службы США, имитируя функциональность работающей в среде DOS программы CarvThis. Как бы там ни было, foremost — удобный и достаточно простой в использовании инструмент для восстановления файлов.

Для определения типа файла используется не только расширение, но и несколько первых байт и другие признаки.

Для начала — простая установка:

Соглашаемся установить пакет, нажав Y, немного ждем — и приступаем к восстановлению.

Для примера давайте попробуем найти все архивы .zip.

Я выбрал этот формат не случайно. Дело в том, что файлы большинства современных офисных пакетов, как проприетарных, так и свободных, представляют собой именно zip-архивы. Исключение составляют только документы Microsoft Office 2003 и более ранних версий (doc, ppt, xls и т. д.). Поскольку мы восстанавливаем небольшие файлы, для них вполне достаточно будет папки, которую мы создадим в домашней директории текущего пользователя.

Foremost

Рассмотрим параметры, с которыми мы запустили foremost.

Дождавшись окончания сканирования, заглянем в указанную нами директорию.

Foremost

Поскольку foremost мы запускали от имени суперпользователя, файлы на выходе принадлежат ему. Давайте передадим их себе:

Если поиск предстоит выполнять на устройстве c одной из файловых систем Linux, добавьте ключ -d. Больше опций и другой полезной информации вы найдете в документации foremost. Там же есть список форматов, которые программа распознает без дополнительной настройки.

Нужно больше типов файлов?

Если нужный вам тип файлов программа не распознает, загляните в:

Во-первых, сюда можно добавить характеристики нужного вам формата, чтобы использовать эти данные при поиске. Во-вторых, многие из них уже добавлены разработчиками. Если вы нашли здесь то, что вам нужно, раскомментируйте строку.

Foremost

В следующих статьях мы продолжим тему восстановления данных и рассмотрим другие программы. Не исключено, что я еще вернусь к foremost и расскажу о том, как добавить в конфиг свои типы файлов.

Оригинал: How to Use Foremost to Recover Deleted Files in Linux
Автор: Ben Stockton
Дата публикации: 7 октября 2019 года
Перевод: А. Кривошей
Дата перевода: март 2020 г.

Команда rm является одной из самых опасных из тех, которые доступны пользователям Linux. Если вы удалите не тот файл или папку, вы можете сделать неработоспособной всю операционную систему. Восстановление потерянных файлов не является тривиальной задачей, но оно не невозможно. Утилита Foremost предназначена для криминалистического поиска на жестком диске в попытке восстановить любые удаленные файлы. В этой статье рассказывается, как ее использовать.

Что такое Foremost?

Первоначально разработанная федеральными агентствами США, утилита Foremost имеет открытый исходный код и находится в свободном доступе. Вместо того, чтобы пытаться извлечь файлы из файловой системы вашего диска, Foremost пытается напрямую воссоздать файлы.

man-страница Foremost

Большинство операционных систем не удаляют полностью файлы из файловых систем. Они удаляют метаданные, оставляя данные. Выполняя сканирование диска по кусочкам, Foremost копирует и анализирует диск для получения этой информации.

Она будет временно хранить информацию, используя внутреннюю память вашего ПК. Там она будет искать определенные сегменты файла, пока не сопоставит его с другими, соединяя их вместе, как мозаику.

Foremost поддерживает определенные типы файлов. Поддерживаются файлы изображений, такие как JPG и GIF, двоичные файлы Windows, такие как EXE, файлы документов, такие как DOC и PDF, а также сжатые файлы, такие как ZIP или RAR.

Установка Foremost в Linux

Foremost доступна в виде пакета для установки в большинстве репозиториев Linux по умолчанию. Вы можете установить ее из терминала, используя менеджер пакетов вашего дистрибутива Linux.

установка Foremost

В дистрибутивах на основе Debian и Ubuntu можно установить Foremost, открыв терминал и введя следующую команду:

Если вы используете Arch Linux, вы можете установить Foremost, набрав:

Пользователи Fedora могут установить Foremost из терминала, набрав:

Использование Foremost

Если вы удалили файл и хотите его восстановить, вы можете использовать Foremost для поиска всех файлов того же типа, которые были ранее удалены.

Во-первых, вам нужно знать имя раздела вашего диска в Linux, например, «/dev/sda1». Если вы не знаете свой раздел, введите в терминале следующую команду:

Вы увидите список разделов диска. Найдите диск, на котором вы хотите произвести поиск.

список разделов диска

Когда вы узнаете свой раздел диска, вы сможете использовать Foremost для поиска. Например, если вы ищете удаленный файл PNG, откройте окно терминала и введите следующее:

Замените «/dev/sda1» на раздел вашего диска. Флаг -t позволяет вам выбрать тип файла, который вы хотите восстановить. Флаг -i выбирает диск, на котором вы хотите найти удаленные файлы, а флаг -o указывает папку, в которой сохраняются восстановленные файлы.

поиск удаленных файлов

Вы можете использовать аналогичный процесс для любого типа файла. Замените png вашим типом файла. Вы можете искать на всем диске, или в определенных папках.

Когда Foremost завершит поиск, все найденные файлы будут сохранены в папке, указанной в качестве выходной, под флагом -o. Если вы испытываете затруднения, вы можете поискать требуемую информацию в руководстве Foremost, набрав в терминале:

Восстановление удаленных данных в Linux

Нет никаких гарантий, что Foremost сможет восстановить данные, которые вы потеряли или удалили. Однако это по-прежнему одна из лучших бесплатных утилит для восстановления данных.

Если вы не готовы платить, Foremost - это один из лучших вариантов восстановления данных в Linux. Если Foremost не работает, есть другие инструменты восстановления данных для Linux, которые вы можете попробовать вместо нее.

Для восстановления удаленных файлов используется утилита foremost.

Если вы не уверены в том какую архитектуру имеет ваш сервер (x86_64 или i386), используйте команду uname -i для ее определения.


Определение архитектуры uname –i

Для архитектуры x64


Ошибка при установке утилиты: требуется установить пакет glibc

Для установки glibc выполните команды

Предположим из системы удалили какой-либо файл:

После случайного удаления нужных файлов, чтобы не повредить данные, лучше сразу же отмонтировать раздел или смонтировать его заново в режиме "только чтение": mount -o remount,ro /dev/part или umount /dev/part. Также, желательно сделать резервную копию раздела прежде, чем начинать восстановление: dd bs=4M if=/dev/part of=partition.backup. Параметры утилиты dd(побайтовое копирование): if: источник, откуда копируем. Он может быть как файлом, так и устройством. of: назначение. Записывать можно как в обычный файл, так и в устройство. bs: количество байт, которые будут записаны за раз. count: параметр, указывающий количество скопированных частей, размером указанных в bs.
  • -v — отображать информацию о процессе сканирования;
  • -a — записывать отчёт обо всех заголовках, в т.ч. о повреждённых файлах;
  • -t <тип файла> — расширения файлов для поиска; all – поиск всех форматов;

если ключ отсутствует, будет производится поиск по типам файлов, указанных в /etc/foremost.conf.


Конфигурационный файл foremost
  • -i — раздел или накопитель, где будет происходить поиск; определить раздел можно с помощью команд mount или df –h


Определение раздела
  • -o — директория для сохранения найденных файлов;
  • -T — добавить время в названии директории с восстановленными файлами;
  • -q — быстрая проверка; значительно ускорит восстановление, при этом не удастся восстановить некоторые файлы;
  • -w — производится только сканирование и вывод отчета о файлах;
  • -k <число> — объём оперативной памяти, выделенный утилите; увеличение объёма памяти увеличит скорость восстановления.

Утилита extundelete также восстанавливает удаленные файлы с файловых систем ext3 и ext4.

Скачайте последний cheese-release rpm

Установите cheese-release rpm:

Установите extundelete rpm package:


Параметры extundelete

Примеры использования extundelete.

Восстановить директорию /home/tmp на разделе /dev/sda1:

Восстановить файл /root/file.txt на разделе /dev/sda1:

Восстановить содержимое /var/log/asterisk, удаленное после указанного времени 1557046800 (May 05 2019 12:00):

Дата указывается в формате UNIX. Для конвертирования формата используется команда

Читайте также: