Статьи

Програми для відновлення даних

  1. Відновлення даних з жорстких дисків, карт пам'яті та інших носіїв До відновлення даних доводиться...
  2. PhotoRec
  3. Scalpel
  4. extundelete
  5. Foremost
  6. ext4magic
  7. ext3grep
  8. scrounge-ntfs
  9. Recoverjpeg
  10. magicrescue
  11. ddrescue
  12. Програми для відновлення файлових систем
  13. gpart
  14. anyfs-tools
  15. Програми для відновлення даних з пошкоджених носіїв
  16. recoverdm
  17. recuperabit
  18. Криміналістичні програми з функцією відновлення даних
  19. Sleuth Kit
  20. DFF (Digital Forensics Framework - цифровий криміналістичний фреймворк)

Відновлення даних з жорстких дисків, карт пам'яті та інших носіїв

До відновлення даних доводиться вдаватися при випадковому видаленні потрібних файлів, при форматуванні файлової системи з потрібними даними, при «зльоті» файлової системи, коли з якихось причин диск просто перестає визначатися операційною системою, або при пошкодженні носія інформації, в результаті чого деякі файли стають недоступними або зникають.

В даній статті наведено список програм, які так чи інакше пов'язані з відновленням файлів, папок, фотографій, документів і т.п. з носіїв інформації. Абсолютно всі ці програми є безкоштовними, у кожної з них відкритий вихідний код.

Ці програми я розділив на чотири групи:

  • Програми для відновлення видалених файлів
  • Програми для відновлення файлових систем
  • Програми для відновлення даних з пошкоджених носіїв
  • Криміналістичні програми з функцією відновлення даних

Розподіл дещо умовний, оскільки деякі програми є широку функціональність, і можуть бути поміщені відразу в кілька груп.

У програм є свої особливості: ОС, в яких вони працюють, використовувані методи, типи файлів, які вони здатні знайти, файлові системи, які використовуються методи і т.д. Якщо одна з програм не дала результатів, то має сенс спробувати іншу.

Всі описані тут програми працюють в Linux, деякі з них є кроссплатформенную і працюють в інших операційних системах, наприклад, Windows. Це буде відзначатися в описі програми.

Зазвичай при видаленні файлу не видаляється його вміст, а видаляється інформація про цей файл. Приблизно це ж відбувається і при швидкому форматуванні носіїв. Саме цим і користуються багато програм по відновленню файлів - вони шукають вміст файлу і копіюють його, цей процес і називається «відновленням файлу». Місце (область на диску), яке займав файл, після видалення вважається незайнятим (НЕ розподіленим) і може бути перезаписано при збереженні іншого файлу. Тому вкрай важливо не зберігати нові дані на носій. Якщо ви цього не робите, то програми і системні процеси можуть це робити без вашої участі. Операційні системи безперервно звертаються до файлової системи. Наприклад, ОС Windows кілька разів кожну секунду протягом всієї роботи комп'ютера звертається до свого реєстру. Багато процесів, про які ви навіть не здогадуєтесь, також працюють з файлової системою. Звідси випливають цілком очевидні правила:

  • уникайте нові файли на диск або флешку, з якої ви хочете відновити віддалений або зниклий файл;
  • відновлювані файли обов'язково зберігайте на інший носій, а не на той, з якого ведеться відновлення, оскільки ці файли затирають дані і шанси на відновлення кожного наступного файлу падають;
  • якщо ви працюєте в Linux, то отмонтіруйте розділ або перемонтують його тільки для читання;
  • якщо це системний розділ, то рекомендується вимкнути комп'ютер і працювати з Live-диска або з образом даного розділу.

Доброю практикою є не працювати з носієм безпосередньо, а зробити його образ і працювати з файлом образу. Завдяки такому підходу:

  • носій можна відключити від системи, що гарантує, що будь-які процеси ОС не будуть до нього звертатися і записувати на нього дані;
  • ви точно не нашкодите носію, якщо щось зробите не так;
  • якщо необхідність відновлювати файли пов'язана з несправністю носія, то інтенсивна робота декількох програм може погіршити ситуацію.

Програми для відновлення видалених файлів

У цьому розділі в основному програми, які відновлюють окремі файли і папки.

PhotoRec

PhotoRec

PhotoRec, мабуть, це одна з найбільш дружніх до користувача програм. Вона працює на різних операційних системах, в тому числі і на Windows. В ОС Windows вона може працювати як в режимі консолі, так і з графічним інтерфейсом. Не дивлячись на свою дружність, вона є дуже ефективною для відновлення файлів. Вона може працювати навіть з носіями, у яких злетіла файлова система.

Опис програми: https://kali.tools/?p=2628

Детальна інструкція по роботі з PhotoRec (в тому числі в Windows): https://zalinux.ru/?p=833

Ця програма є компаньйоном TestDisk, яку також можна було б розглянути в цьому ж розділі, оскільки вона теж уміє відновлювати файли. Але головне призначення TestDisk - це відновлювати файлові системи, тому вона буде розглянута трохи пізніше.

Scalpel

Scalpel - це програма з відкритим вихідним кодом для відновлення файлів використовуючи базу даних заголовків, колонтитулів. Може відновлювати з образів дисків або пристроїв з сирими блоками, заголовки і колонтитули встановлюються користувачем. Програма використовується не тільки для відновлення файлів, але і цифрових криміналістичних досліджень.

Деякі приклади використання Scalpel: https://zalinux.ru/?p=877

extundelete

extundelete - це утиліта, яка може відновити видалені файли з розділів ext3 або ext4.

Детальний опис і опції extundelete: https://kali.tools/?p=2574

Деякі приклади використання extundelete: https://zalinux.ru/?p=877

Foremost

Foremost - це консольна програма для відновлення файлів на основі їх заголовків, колонтитулів і внутрішньої структури даних. Цей процес зазвичай називають «вискоблюванням даних». Foremost може працювати з файлами образів, такими як згенеровані в dd, Safeback, Encase і т. Д. Або безпосередньо з диском. Заголовки і колонтитули можуть бути вказані в конфігураційному файлі або ви можете використовувати перемикачі командного рядка, для точного визначення вбудованих типів. Ці вбудовані типи дивляться на структуру даних даного файлового формату, дозволяючи більш надійне і швидке відновлення.

Детальний опис і опції Foremost: https://kali.tools/?p=2494

Деякі приклади використання Foremost: https://zalinux.ru/?p=877

ext4magic

ext4magic - це інструмент адміністратора Linux, який може допомогти відновити вилучені або перезаписані файли на файлових системах ext3 і ext4.

У своїй роботі спирається на журнал файлової системи.

Детальний опис і опції ext4magic: https://kali.tools/?p=2565

ext3grep

ext3grep - це інструмент для дослідження файлових систем ext3 на віддалене вміст і можливість його відновити. Програма допомагає відновлювати видалені файли тільки з файлових систем ext3.

scrounge-ntfs

scrounge-ntfs - це утиліта для порятунку даних з пошкоджених розділів NTFS, вона записує отримані файли на іншу робочу файлову систему. Деяка інформація про пошкодженому розділі повинна бути відома заздалегідь.

Recoverjpeg

Recoverjpeg - відновлює JFIF (JPEG) фотографії і відеозаписи MOV. Recoverjpeg намагається ідентифікувати jpeg картинки в файлової системі або з образу файлової системи.

magicrescue

magicrescue - сканує блоковий пристрій і витягує файли відомих типів по «магічним байтам». Може використовуватися як утиліта для відновлення видалених файлів, так і порятунку даних з пошкодженого диска або розділу. Працює на будь-яких файлових системах, але на дуже фрагментованих файлових системах програма може відновити тільки перший шматок кожного файлу. Проте, ці шматки іноді досягають 50 мегабайт.

ddrescue

ddrescue - інструмент для відновлення даних. Копіює дані з одного файлу або блокового пристрою на інший, намагається врятувати спочатку хороші частини, якщо є помилки читання.

Програми для відновлення файлових систем

TestDisk

TestDisk програма з відкритим вихідним кодом і ліцензією GNU General Public License (GPL v2 +).

TestDisk це потужна безкоштовна програма для відновлення даних. Вона була розроблена в першу чергу, що б допомогти відновити втрачені розділи і / або відновити завантажувальний здатність дисків якщо ця проблема викликана програмно, вірусами або помилками людини (таких як випадкове видалення Таблиці Розділів). Відновити Таблиці Розділів TestDisk-му дуже легко.

TestDisk може:

  • Виправляти таблицю розділів, відновлювати видалені розділи;
  • Відновлювати завантажувальний сектор FAT32 з резервної копії;
  • Перебудовувати (реконструювати) завантажувальний сектор FAT12 / FAT16 / FAT32;
  • Виправляти таблицю FAT;
  • Перебудовувати (реконструювати) завантажувальний сектор NTFS;
  • Відновлювати завантажувальний сектор NTFS з резервної копії;
  • Відновлювати MFT використовую MFT дзеркало;
  • Визначати резервний SuperBlock ext2 / ext3 / ext4;
  • Відновлювати видалені файли на файлових системах FAT, NTFS and ext2;
  • Копіювати файли з віддалених FAT, NTFS and ext2 / ext3 / ext4 розділів.

TestDisk підійде і для новачків, і для експертів. Для тих, хто знає мало або взагалі нічого не знає про методи відновлення даних, TestDisk може бути використаний для збору детальної інформації про незагружаемую дисках яка потім може бути використана для подальшого аналізу. Ті, хто вже знайомий з такими процедурами, повинен знайти TestDisk зручним інструментом при виконанні відновлення.

TestDisk може працювати під:

  • DOS (real або в Windows 9x, DOS-box)
  • Windows (NT4, 2000, XP, 2003, Vista, 2008, Windows 7 (x86 & x64), Windows 10
  • Linux
  • FreeBSD, NetBSD, OpenBSD
  • SunOS
  • MacOS X

Докладне опис TestDisk з прикладами роботи: https://kali.tools/?p=2578

gpart

gpart намагається припустити, які розділи присутні на жорсткому диску. Вона намагається знайти загублену, перезаписати або зруйновану, але все ще існуючу на диску, таблицю розділів, до якої операційна система не може отримати доступ. gpart ігнорує головну таблицю розділу і сканує диск (або образ диска) сектор за сектором в пошуках декількох типів файлових систем / розділів. У своїй роботі вона використовує модулі розпізнання файлових систем, опитуючи їх, чи не нагадує ця послідовність секторів тип файлової системи або розділу.

anyfs-tools

anyfs-tools - unix-way набір інструментів для відновлення і конвертації файлових систем.

Інструменти:

  • anyfs-tools надає unix-way набір інструментів для відновлення і конвертації файлових систем.
  • build_it зчитує з директорії рекурсивно інформацію про всі інф.узлах файлової системи використовуючи драйвер (для читання) ОС Linux і зберігає її у вигляді зовнішньої таблиці інф.узлов.
  • anysurrect шукає на пристрої файли виходячи з відомої структури різних типів файлів. Інформація про знайдені файлах також зберігається у вигляді зовнішньої таблиці інф.узлов.
  • reblock змінює розмір блоку файлової системи. reblock використовуючи інформацію з таблиці інф.узлов змінює положення окремих фрагментів файлів так, щоб вони були вирівняні по межах блоків нового розміру.
  • build_e2fs виходячи з інформації наданої зовнішньою таблицею інф.узлов будує на пристрої файлову систему ext2fs.
  • build_xfs виходячи з інформації наданої зовнішньою таблицею інф.узлов будує на пристрої файлову систему xfs.
  • anyconvertfs конвертує файлову систему пристрою з застосуванням інших утиліт з anyfs-tools.
  • драйвер файлової системи anyfs для Linux дозволяє змонтувати пристрій використовуючи інформацію із зовнішнього таблиці інф.узлов. При цьому на змонтованої файлової системи будуть доступні такі файлові операції як видалення, переміщення файлів; створення символічних і жорстких посилань, спеціальних файлів; зміна прав доступу. Всі ці зміни зберігаються при отмонтірованіі в той же файл зовнішньої таблиці інф.узлов і не зачіпають самого пристрою.
  • anyfuse є FUSE реалізацією anyfs

Програми для відновлення даних з пошкоджених носіїв

safecopy

safecopy - інструмент для відновлення даних з проблемних або пошкоджених носіїв. Програма рятує дані з джерел, на яких виникли помилки читання-запису. Вона намагається отримати так багато даних з джерела, як це можливо, навіть вдаючись до специфічних для пристрою операціями низького рівня, де це можливо.

recoverdm

recoverdm - відновлює файли з дисків з пошкодженими секторами.

recuperabit

recuperabit - це інструмент для криміналістичної реконструкції файлової системи.

Криміналістичні програми з функцією відновлення даних

Autopsy

Autopsy

Autopsy - це платформа цифрової криміналістики і графічний інтерфейс для Sleuth Kit і інших цифрових криміналістичних інструментів. Вона використовується правоохоронними органами, військовими і корпоративними експертами для розслідування того, що сталося на комп'ютерах. Звичайні користувачі можуть використовувати її, наприклад, для відновлення фотографій з цифрової карти пам'яті камери.

Autopsy була створена щоб бути інтуїтивно зрозумілою з коробки. Установка проста і майстер проведе вас по всіх кроків.

Додаткові подробиці про Autopsy: https://kali.tools/?p=1804

Sleuth Kit

The Sleuth Kit (TSK) - це бібліотека на мові C і набір інструментів командного рядка, які дозволяють досліджувати образи дисків. Ключова функціональність TSK дозволяє аналізувати томи і дані файлової системи в комп'ютері підозрюваного. Фреймворк плагінів дозволяє інкорпорувати додаткові модулі для аналізу вмісту файлів і будувати автоматизовані системи. Бібліотека може бути інкорпорована в велику кількість інструментів цифрової криміналістики, а інструменти командного рядка можуть використовуватися безпосередньо для пошуку доказів.

Оскільки інструменти не покладаються на операційну систему для роботи з файловою системою, то показується віддалене і заховане вміст. Програма працює на платформах Windows і Unix.

Подробиці про Sleuth Kit: https://kali.tools/?p=1811

DFF (Digital Forensics Framework - цифровий криміналістичний фреймворк)

DFF (Digital Forensics Framework - цифровий криміналістичний фреймворк)

DFF (Digital Forensics Framework - цифровий криміналістичний фреймворк) - це криміналістична комп'ютерна платформа з відкритим вихідним кодом, він побудований поверх окремих API. DFF призначений прийти на заміну устаревающим цифровим криміналістичним рішеннями, які використовуються сьогодні. Створений для простого використання і автоматизації, інтерфейс DFF проводить користувача через головні кроки цифрового розслідування, тому він може використовуватися як професіоналами, так і не експертами для швидкого і простого здійснення цифрових розслідувань і реагування на інциденти.

Пов'язані статті:

Tools/?
Ru/?
Ru/?
Tools/?
Ru/?
Tools/?
Ru/?
Tools/?
Tools/?
Tools/?

Новости