linux文件系统数据恢复

Kali 添加磁盘如图87

    

                                                图87    kali添加磁盘

Kali 由于linux系统与windows不一样，没有计算机管理,只能用命令/bin/sh/usr/lib/udisks2/udisks2-inhibit/usr/sbin/gpartedbin 启动图形化界面 如图88

                                                          图88   启动图形化

在图形化界面，创建分区 如图89

                                                        图89 创建分区

查看磁盘情况如图 90

                                                        图 90    kali 磁盘

6.5.1  testdisk&photorec

TestDisk是另一种类型的数据恢复工具。它不能从故障的存储设备上拷贝数据，相反，它可以解决一些因为分区的原因而造成数据无法访问的问题。

该工具可以帮助你恢复丢失的分区，让磁盘重新变得可以启动，整理分区表，恢复主引导记录，恢复引导扇区以及文件系统表，可以从 NTFS、FAT、exFAT和ext2类型的文件系统中恢复被删除的文件，还能从已经删除了的NTFS、FAT、exFAT和ext2/3/4文件系统 中拷贝文件。

在Linux上安装testdisk&photorec后查看版本  如图 91

                                        图91    安装testdisk

在8G磁盘中，复制文件后，完全删除图片和文件 如图92

                                        图92   完全删除文件

终端输入命令testdisk，启动图形化界面选择，如图 93

                                                图93   testdisk界面

选择create→ Disk /dev/sdb - 8589 MB / 8192 MiB→Intel →

Analyse →Quick Search→ P: list files

Quick Search选完后有几个选项

Keys A: add partition, L: load backup, T: change type,

P: list files, Enter: to continue 

在选择P: list files后，发现磁盘有删除文件（标红状态） 如图94

                                                        图94    删除文件

在下载testdisk的过程中，附带下载软件photorec命令终端执行

如图95 执行sudo  photorec

                                        图95     photorec界面

选择Disk /dev/sdb - 8589 MB / 8192 MiB (RO)→【Search】→

[ ext2/ext3 ] ext2/ext3/ext4 filesystem →【Whole】Extract files from whole partition 最后选择在当前目录，选择文件权限 如图96

                                                图96   文件恢复路径权限选择

按c 键root桌面出现文件夹，显示正在恢复，根据文件大小如图97

                                                                图97  恢复文件

最后恢复成功如图 98

                                                                图98 恢复成功

6.5.2   Scalpel

Scalpel是Linux和Mac操作系统的开源文件系统恢复。该工具访问块数据库存储并从中识别已删除的文件并立即恢复它们。除了文件恢复之外，它还对数字取证调查很有用。

Debian/Ubuntu 和 Linux Mint 中安装 Scalpel

方式1：sudo apt-get install scalpel

方法2：wget https://codeload.github.com/machn1k/Scalpel-2.0/zip/master  如图99

                                                图 99   安装Scalpel

通过命令将下载的scalpel 解压查看设置配置 如图100

                                                        图100   解压配置

命令进入vim/etc/scalpel/scalpel.conf 文件更改配置文件

例如：后缀为jpg、pdf、zip等文件注释去掉保存配置 如图 101

                                                                图 101 更改配置

将复制的文件完全删除 如图102

                                                        图102  完全删除文件

打开终端通过命令恢复文件如图103

                                                        图103恢复分区文件

开始scalpel /dev/sdb1 -o /RECOVERY/

分区是/dev/sdb1  输出 -o   恢复后路径 /RECOVERY/

发现文件恢复成功 如图104

                                                        图104    恢复成功

6.5.3 foremost

安装foremost 如图105

                                                图 105   安装foremost

复制文件到/dev/sdc1后完全删除 如图106

                                                        图 106   完全删除文件

通过foremost命令恢复已经删除文件如图 107

                                                                图107 恢复文件

查看桌面出现output目录，里面有jpg文件，foremost语句只恢复了jpg类型文件，如图104 恢复其他类型文件  如图108

foremost -v -T -t pdf,jpg,zip-i/dev/sdc1-o/media/disk/Recover 

-V：display copyright information and exit   显示版权信息并退出
-t：- specify file type.  (-t jpeg,pdf ...) 指定的文件类型
-i； - specify input file (default is stdin)   指定输入文件
-o： - set output directory (defaults to output)指定输出目录

                                                图108 恢复已经删除文件

如图恢复结果如图109

                                                        图109   恢复结果