Sie müssen Daten von einer Datenfestplatte wiederherstellen, auf der ich testdisk verwendet habe, um mbr von einem Rootkit-Virus zu reparieren

8

Bevor ich anfange zu sagen, wie meine Situation hier ist, wissen Sie bitte, dass ich für jeden, der mir bei diesem Durcheinander helfen kann, für immer dankbar wäre. Ich habe hier Fotos von jahrelanger sorgfältiger Arbeit. Ich bin ein Semi-Pro-Fotograf und meine Festplatte enthält ungefähr 1,5 TB Daten von Fotos. Plus 100 GB meiner gesamten Musikbibliothek und aller meiner DVDs nahm ich mir Zeit, um auf meine Festplatte zu tippen. Aber meine Fotos machen mir am meisten Sorgen, sie sind nicht austauschbar.

Hier ist kurz gesagt, was passiert ist: Ich hatte immer eine Sicherung meiner Daten mit Backblaze, einer Online-Sicherung für Windows. Ich habe mich vor ungefähr 3 Monaten entschieden, einen Server für meine Dateien mit Plex zum Laufen zu bringen, und Ubuntu war der beste Weg. Also habe ich diese Sicherungsmethode unter Verwendung von "Greyhole" verwendet und dabei (2) 2-TB-Festplatten und (1) 1-TB-Festplatte in diesem Greyhole-Sicherungsprogramm eingerichtet.

Dann bekam ich ein Rootkit. Dieses Ding war böse und ich denke, nachdem ich 2 Monate lang alles ausprobiert hatte, musste ich mein BIOS neu starten und hatte immer noch diesen Virus. Ich musste alle meine Festplatten neu formatieren und alles auf einer Festplatte sichern, die fast vollständig gefüllt war (eine 2-TB-Festplatte). Ich habe diesen Virus immer noch nicht losgeworden, es war unglaublich. Schließlich habe ich es gefangen. Es wurde in meine Netzwerk-Ethernet-Karte eingebettet. Jeder, der dies liest, sollte darauf achten, dass alles, was darin eingebettet ist, Ihren Router und Ihr gesamtes LAN infizieren kann und wird und auch durch erneutes Aufblitzen des BIOS selbst auf Ihrem Computer bleibt!

Wie auch immer, nachdem ich das Ding loszuwerden schien, hatte ich immer noch meine Dateien auf meiner Festplatte. Ich wollte meine Maschinen nicht erneut infizieren, also habe ich versucht, den MBR mit einem Dienstprogramm namens testdisk neu zu schreiben.

GROSSER FEHLER

Ich hatte keine Ahnung, was ich tat. Und jetzt kann ich meine Informationen nicht lesen!

Hier sind die guten Nachrichten? Nachdem testdisk es geschafft hatte (was darin bestand, dass ich das Laufwerk analysierte und den Befehl WRITE verwendete, um den Schaden zu verursachen, dauerte es nur 1 Sekunde, bis es fertig war. Das heißt - ich habe keinen 5-stündigen Prozess des Schreibens von Nullen durchgesessen auf dem Laufwerk mit "dd". Es war eine schnelle Kleinigkeit, die ich getan habe. Aus diesem Grund denke ich, dass die Daten immer noch auf dem Laufwerk sein müssen.

Folgendes weiß ich:

  • Das Laufwerk ist ein Datenlaufwerk, kein Betriebssystem. Ich habe Ubuntu als Betriebssystem auf einem anderen Laufwerk verwendet.
  • formatiert als ext3 oder ext4
  • Größe = 2 TB
  • Dateien = unersetzlich, mein ganzes Leben funktioniert - keine Übertreibung.

Außerdem hat backblaze meine Dateien nicht mehr, weil es über 30 Tage her ist. Ich habe alle meine anderen Backups aufgrund des Rootkits mit Nullen überschrieben. Diese Festplatte war und ist die einzige Quelle meiner Dateien zu dem Zeitpunkt, als dies geschah. Zufälligerweise ist dies das einzige Mal, dass ich seit vielen Jahren ohne Backup bin.

Hier ist ein Kopieren / Einfügen von fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Und lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Bitte helfen Sie, was kann ich tun? Ich habe Angst, es mit Testdisk wieder zu vermasseln. Ich möchte nur die Dateien wiederherstellen. Ich kann nicht sehen, wie sie weg sind.

Ich danke dir sehr-

wardr
quelle
+1 für sehr gut geschriebene Frage und gute Befehlsausgabe.
Kaz Wolfe

Antworten:

10

Um Daten von einem Image auf einem externen USB-Laufwerk wiederherzustellen, sind folgende Schritte erforderlich:

  1. Verwenden Sie das beschädigte Laufwerk nicht mehr.
  2. Halten Sie ein externes Laufwerk bereit, das die doppelte Datenmenge von der Größe Ihres beschädigten Laufwerks enthält. Formatieren Sie mit einem Dateisystem, das eine so große Datei aufnehmen kann, wie sie vom ursprünglichen Laufwerk erstellt wird (z. B. ext4).
  3. Starten Sie Ubuntu von einer Live-Sitzung ( "Try Ubuntu" ).
  4. Hängen Sie Ihr externes Laufwerk mit Nautilus ein.
  5. Überprüfen Sie den Einhängepunkt Ihres externen Laufwerks.
    zB mit Eigenschaften -> Ort im Kontextmenü.
  6. Überprüfen Sie den Standort Ihres beschädigten Laufwerks mit einem dieser Befehle in einem Terminal

    sudo fdisk -l
    sudo blkid
    
  7. Erstellen Sie ein Image Ihres beschädigten Laufwerks

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Ersetzen Sie es sdXdurch Ihr beschädigtes Laufwerk (z. B. sda) oder Partition (z sda1. B. ). Ersetzen Sie ihn /mountpoint/DRIVENAME/durch den tatsächlichen Pfad, in dem Ihr USB-Laufwerk installiert war.

    Nur wenn Ihr beschädigtes Laufwerk ( sdX) der Größe Ihres externen Laufwerks ( sdY) entspricht, können Sie das Laufwerk ( sudo dd if=/dev/sdX of=/dev/sdY) klonen , um eine Datenrettung auf einem geklonten externen Laufwerk durchzuführen. Die Arbeit an einem Bild wie oben gezeigt ist jedoch viel sicherer.

    An dieser Stelle ist es wichtig, den ddBefehl korrekt zu erhalten. Wenn Sie den falschen Eintrag of=eingegeben haben, können Sie alle dort vorhandenen Daten beschädigen.

  8. Installieren Sie TestDisk auf Ihrem Live-System, wie in meiner Antwort unten näher ausgeführt:

  9. Lesen Sie die fantastische und prägnante Anleitung der Hersteller von TestDisk, um sich zu erholen.

  10. Wenn Ihr Laufwerk sehr groß ist, mounten Sie ein anderes Laufwerk / eine andere Partition, um die wiederhergestellten Daten zu speichern. Beachten Sie diesen Mountpunkt für die Testdisk.
  11. Führen Sie testdisk Installieren Sie die Testdisk auf dem Image Ihres Laufwerks aus:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. Speichern Sie wiederhergestellte Verzeichnisse und Dateien auf Ihrem Sicherungslaufwerk / Ihrer Sicherungspartition (geben Sie testdisk den Mountpunkt dieses Laufwerks als Speicherort an, falls er sich von dem Speicherort des Images unterscheidet).
  13. Überprüfen Sie, ob Ihre Daten vorhanden sind.
  14. Hängen Sie alle Laufwerke aus oder fahren Sie die Live-Sitzung herunter.

Falls es uns nicht gelungen ist, unsere Dateien wiederherzustellen, können wir auch PhotoRec ausführen, das zusammen mit der TestDisk-Suite installiert wurde, um einzelne Dateien wiederherzustellen (dann gehen jedoch die Berechtigungen für Dateinamen und Verzeichnisse verloren).

Ihr beschädigtes Laufwerk bleibt unberührt. Wir können dieses Laufwerk sogar von einem professionellen Service wiederherstellen lassen, falls wir mit den oben genannten Schritten versagt haben.

Takkat
quelle
Dies ist fast mein genauer Workflow für die Datenwiederherstellung. Habe +10 Wiederholungen.
Kaz Wolfe
@akkat: Schau mal hier . Ich möchte Ihre Antwort bearbeiten, um die (optionale) "beleidigende" ddAussage in eine mit einem Bild wie in meiner Antwort zu
ändern
3

Ich glaube unter anderem, dass testdisk als Tool zur Wiederherstellung Ihrer Daten funktionieren sollte. In erster Linie müssen Sie jedoch Ihre letzte Kopie der Daten schützen, bevor Sie etwas anderes tun. Erstens, montieren Sie es von nun an nur noch schreibgeschützt. (Sie können es mit der Option ro wieder montieren, siehe man mount)

Ich schlage vor, dass Sie sich eine große (> 2 TB) Festplatte zulegen und ein vollständiges Image Ihrer aktuellen Festplatte kopieren: dd if=/dev/sda of=disk-image.ddwobei / dev / sda Ihre schreibgeschützte gemountete alle wichtigen Festplatten sind und disk-image.dd eine Datei auf der neuen Festplatte ist. Stellen Sie sicher, dass 2 TB frei sind.

testdisk funktioniert auch mit einem Image und sollte in der Lage sein, die Partitionstabelle zu sortieren. Kommen Sie mit Fragen und Kommentaren zurück und wir können es von hier aus übernehmen ...

Ein guter Ort, um mit dem Lesen zu beginnen, ist hier: http://epyxforensics.com/node/36 Beim Durchlaufen wird zunächst eine dd-Kopie erstellt, wie oben vorgeschlagen, und die Arbeit wird weiter bearbeitet.

Haben Sie sich einen Prüfungscomputer mit Testdisk, gparted und möglicherweise hexedit installiert?

DrSAR
quelle
-1

Versuchen Sie "extundelte" , Ihre Dateien wiederherzustellen

mstrewe
quelle
Ich habe extundelete erfolgreich verwendet. Dies war jedoch in einer Situation von gelöschten Dateien ( rm -r *an einem sehr unangemessenen Ort). Im Fall von @Head Snow scheint er seinen MBR abgespritzt zu haben und würde ein anderes Werkzeug benötigen.
DrSAR
Würden die Dateien trotzdem da sein, oder?
wardr
Aus Ihrer Beschreibung geht hervor, dass sie noch da sein sollten.
DrSAR
-1

Probieren Sie Recuva von Piriform (Hersteller von CCleaner ). Das Tool ist kostenlos. Mit v1.51.1063 wurde die Unterstützung für ext2- und ext3-Dateisysteme hinzugefügt.

Das Tool scannt eine Festplatte und versucht, einzelne Dateien wiederherzustellen, die von der Festplatte gelöscht wurden. Dieses Tool hat wichtige Daten für einige Personen gespeichert, deren Geschäft von ihren Daten abhängt (z. B. Quickbooks-Daten), nachdem sie alles auf einer stark beschädigten Festplatte verloren oder die Festplatte formatiert haben.

Ich weiß, dass Recuva ein Tool ist, das nur unter Windows und Mac verfügbar ist, aber das Tool kann jetzt in typischen Linux-Dateisystemformaten verwendet werden. Daher fand ich die Informationen hier auf einer Ubuntu-Q & A-Site nützlich. insbesondere als Lösung für die Frage (obwohl ich sicher bin, dass er / sie inzwischen eine Lösung gefunden hat).

tlovely
quelle
2
Können Sie erklären, wie Sie Recuva verwenden, um Daten von einer Festplatte mit einer überschriebenen Partitionstabelle wiederherzustellen, da AU qualitativ hochwertige Antworten unterstützt, die nicht nur Links zu Ressourcen von Drittanbietern sind (und eine ausführliche Erklärung, warum Ihre Antwort nicht vom Thema abweicht)?
David Foerster