Подходы к восстановлению данных в Linux

Перевод статьи Approaches to data recovery, автор - Vidar Holen

Существует множество обучающих руководств по использованию программ для восстановления данных в Linux, но гораздо меньше информации о том, как выбрать эти самые инструменты для восстановления информации, какие подходы используются в первую очередь для возврата файлов. Вот мой краткий обзор программ-реаниматоров с предложениями, по какому маршруту "прокладывать путь" или какие инструменты оптимальней всего использовать для вышеназванных целей.

Причина Шансы для восстановления данных Инструменты (программы для восстановления)
Забыли пароль для входа в систему Фантастический Любой LiveCD для восстановления или "живая флешка"
  Едва ли это можно квалифицировать как восстановление данных, но для полноты изложения сойдет. Если вы забыли пароль для входа в систему, можете просто загрузить LiveCD и смонтировать диск для доступа к файлам. Также имеет смысл сменить корневую файловую систему и сбросить пароль. В общем, загуглите "забыл пароль в Linux".
Нечаянное удаление используемых файлов Отлично Lsof, ср
  При случайном удалении файла, который до сих пор используется некоторыми процессами - скажем, активный лог-файл или источник видео, которое вы конвертируете - стоит убедиться, что процесс не завершился (выполните команду sigstop при необходимости) и скопируйте файл из дескриптора файла /proc.
Нечаянное удаление других файлов Хороший прогноз для жестких дисков, плохой - для твердотельных ssd накопителей TestDisk, ext3grep, extundelete
  При удалении файла, который в настоящее время не открыт, остановите - насколько это возможно - активность диска, чтобы предотвратить перезапись данных. Если вы используете SSD, то данные, вероятно, безвозвратно удалятся в течение нескольких секунд. Далее откройте fs - специальный инструмент для возврата файлов: Testdisk может восстановить NTFS, VFAT и ext2, extundelete / ext3grep может помочь с ext3 и ext4. Если вы не можете найти этот инструмент для необходимых файловых систем, попробуйте утилиту PhotoRec. 
Удалилась загрузочная запись MBR или удален раздел Отлично gpart (примечание: не gparted), TestDisk
  Если вы удалили раздел диска, используя FDISK или восстановили MBR из резервной копии, забыв при этом, что данная загрузочная запись также содержит таблицу разделов, gpart или TestDisk, как правило, легко восстановят нужную запись на диске. Если вы перезаписали больше, чем первые несколько килобайт - это уже другая ситуация. Только не путайте gpart с GParted (графический редактор разделов). Загуглите "восстановить таблицу разделов" для поиска дополнительной информации. 
Форматирование файловой системы Зависит от файловой системы e2fsck, PhotoRec, TestDisk
 

При ошибочном форматировании раздела жесткого диска, его дальнейшее восстановление зависит от старой и новой файловой системы. Попробуйте найти инструменты для конвертации / восстановления конкретно для вашей старой ФС. Нечаянно отформатированная файловая система ext3 фс в файловой системе NTFS (например, Windows услужливо предлагает ее при обнаружении ФС Linux) часто может быть почти полностью восстановлена. Для этого нужно запустить из консоли fsck с альтернативным суперблоком. Загуглите "ext3 альтернативное восстановление + суперблок" или что-то похожее на английском языке. 

Переформатирование ext2 / 3/4 с ext2 / 3/4 будет иметь тенденцию к перезаписи суперблоки, это усложнит процесс восстановления разделов на дисках. Обратите внимание на приложение PhotoRec.

Разбиение диска и переустановка ОС

В зависимости от прогресса

 
 

Если вы запускали инсталлятор и случайно отформатировали и отформатировали диск, попробуйте расценить степень последствий как случай удаления плюс переформатирования разделов жесткого диска, как описано выше. Шансы на выздоровление уменьшаются по мере того как файлы установщика операционной системы копируются на разделы. Если все остальные приложения не помогли, попробуйте PhotoRec.

Поврежденных секторов и ошибок привода

Хорошо, в зависимости от степени повреждения секторов

ddrescue

 

Если диск содержит ошибки, используйте ddrescue, чтобы вытянуть как можно больше данных на другой диск, а затем рассмотрите этот случай как поврежденную файловую систему. Попробуйте утилиту fsck, инструмент fs. Если диск сильно поврежден, тогда остается только PhotoRec.

Потерянный ключ шифрования

Очень малые шансы

bash, Cryptsetup

 

Я не знаю, о каких-либо инструментов для взлома или подбора пароля LUKS, хотя вы можете написать скрипт простого взломщика, если у вас в запасе ограниченное количество перестановок. Если вы не имеете ни малейшего представления об этом или если ваше программное обеспечение шифрования использует TPM (редкий для Linux), вы в пролете. 

Переформатирован или частично перезаписан раздел LUKS

Шансов нет

 
  LUKS использует кодовую фразу для шифрования мастер-ключа и сохраняет эту информацию в начале раздела. Если эти данные перезаписаны, сушите весла, даже если вы знаете ключевую фразу.
Другие виды поврежденной или неизвестная файловая система неопределимые шансы на восстановление PhotoRec, strings, grep
  PhotoRec производит поиск файлов по подписи, и, следовательно, может восстанавливать файлы таким методом, хотя вы часто будете терять имена файлов и структуру каталогов.

Если у вас есть другие предложения по восстановлению данных в Linux, более качественные инструменты или подходы, комментируйте пост. В противном случае, я желаю вам скорейшего восстановления данных!

Компьютерная помощь: задайте свой вопрос

Укажите email, на который я смогу выслать ответ на ваш вопрос