Wie gelöschte Dateien wiederherstellen?

121

Gibt es Tools, Methoden und Beschwörungen, um kürzlich gelöschte Dateien auf Ubuntu wiederherzustellen?

Wenn es einen Unterschied macht, möchte ich eine Keepass 2.x-Datenbankdatei wiederherstellen . Aber es wäre besser, eine Methode / ein Tool zu haben, die / das mit jeder Art von Datei funktioniert.

data-recovery Decio Lira
quelle
Verbunden, aber nicht wirklich ein Duplikat: Können vom Terminal gelöschte Dateien / Verzeichnisse wiederhergestellt werden?
Seth

Antworten:

66

TestDisk kann manchmal kürzlich gelöschte Dateien wiederherstellen.

vh1
quelle
4
Kann wichtig sein , um jemanden , dass bestimmte für die Kamera Karten zu wissen, auf Testdisk existiert PhotoRec
Luis Siquot
1
Derzeit verfügt TestDisk nicht über eine grafische Benutzeroberfläche, und die Hilfeseiten (Manpages) sind für mich nicht informativ genug.
Silviubogan
4
PhotoRec ( cgsecurity.org/wiki/PhotoRec ) funktionierte hervorragend, um versehentlich gelöschte Dateien wiederherzustellen (unter Ubuntu 14.04 mit ext4). Ich habe es zuerst mit TestDisk versucht, aber es konnte sie nicht wiederherstellen. Wie auch immer, ich habe beide Werkzeuge im selben Ordner gefunden.
Andrea
1
@silviubogan Eigentlich hat TestDisk eine ziemlich gute textuelle Benutzeroberfläche mit Menüs und Erklärungen. Allen Aktionen ist eine Taste zugeordnet, mit der sie ausgeführt werden können. Sie sind für einen einfacheren Zugriff auf jedem Bildschirm klar geschrieben.
Andrea Lazzarotto
25

Ich habe in erster Linie verwendet , um beschädigte Festplatte sowohl unter NTFS (Windows), FAT32 (Flash-Karte von einem Nokia-Handy) und ext3 mit tollen Ergebnissen wiederherzustellen. Nur über die Befehlszeile, aber es ist ganz einfach:

sudo foremost -i /dev/sda -o <dir where recovered files will be stored>

Die wiederhergestellten Dateien in Ordnern werden nach Dateityp sortiert. Openoffice-Dokumente werden als ZIP-Dateien wiederhergestellt. Da Sie es als root ausführen müssen (um direkt auf die Hardware zugreifen zu können), gehören die Ausgabedateien auch root, sodass Sie wahrscheinlich ihre Eigentümerschaft später ändern müssen.

Javier Rivera
quelle
Dies ist wahrscheinlich eine zu alte Frage, aber wie sehen GIMP-Dateien nach der Wiederherstellung aus?
Aufwachen
Ich weiß es nicht, ich habe nie versucht, sie wiederzugewinnen.
Javier Rivera
@ JaverRivera - Ich glaube nicht, dass Dateien foremostwiederherstellen .xcfkönnen. Siehe die Manpage, die nur mit diesen Dateitypen umgehen kann: und cpp).
SLM
läuft schon ... lass mich auf Ergebnisse warten. Werden teilen.
Patrick Mutwiri
Wie lange dauert es, um fertig zu sein? für einen 32 GB USB-Speicher
Mina Michael
25

extundelete ist wirklich großartig, wenn Ihr Dateisystem ext3 oder ext4 ist.

Hinweis : Beim vollständigen Löschen müssen Sie die Bereitstellung Ihres Laufwerks aufheben, um ordnungsgemäß zu funktionieren (dies ist eine gute Idee, um die hoffentlich wiederherstellbaren Bytes in den gelöschten Dateien so schnell wie möglich zu überschreiben).

Das Trennen des Laufwerks von einem Live-System kann schwierig sein. Oft wird die device is busyMeldung " " angezeigt. Um dies zu beheben, müssen alle Prozesse, die auf das Dateisystem zugreifen, heruntergefahren werden. Aber ... Sie haben wahrscheinlich in Ihrem Home-Verzeichnis gearbeitet, und eine Unmenge von Prozessen sind in Ihr Home-Verzeichnis eingebunden. Also viel Glück damit.

Der Trick, um dies zu umgehen, besteht darin, ein "faules" Aussteigen zu machen:

$ mount
/dev/sda7 on /home type ext4 (rw)
$ sudo umount -l /home

wo:

  • In diesem Beispiel bereite ich meinen /homeMount für die Verwendung mit Extundelete vor. Sie müssen natürlich /homemit Ihrem Reittier von Interesse ersetzen
  • Ich habe den mountBefehl zuerst ausgeführt, um herauszufinden, welches Gerät ( /dev/sda7) ich an extundelete übergeben muss (die Ausgabe wird aus Gründen der Kürze abgeschnitten).
  • das ist ein kleines L in der -lOption
Russ
quelle
4
Ein fauler Unmount hilft nicht wirklich, da die fs gemountet bleibt, bis alle darauf befindlichen Dateien geschlossen sind. Sie müssen das System nur herunterfahren, sobald Sie die Dateien löschen, und extundelete von einer Live-CD ausführen.
Psusi
@psusi - Es ist absolut falsch zu sagen, dass es nicht hilft !! umount -lVerhindert, dass neue Dateien geöffnet / erstellt und geschrieben werden (Web-Caches usw.). Es verhindert jedoch nicht, dass vorhandene geöffnete Dateien noch geschrieben werden (dh, vorhandene Dateien werden nicht geschlossen). Sie schlagen vor, das System herunterzufahren, aber ich denke, dass ein langsames Aufheben des Ladevorgangs (die meiste Zeit) zu weniger geschriebenen Dateien führt, abhängig von der fraglichen Partition. In diesem Sinne ist es am besten, Extundelete bereits installiert zu haben, und wenn nicht, stellen Sie sicher, dass Sie es auf einer anderen Partition installieren, als der, die Sie wiederherstellen möchten!
Russ
Solange die fs noch gemountet ist, führt der Versuch, darauf zuzugreifen, zu einer Beschädigung. Das ist der Grund, warum Sie beim Extundelete zuerst die fs aushängen müssen. Das faule Unmounten täuscht es einfach in der Annahme, dass es nicht gemountet ist, und daher ist es sicher, mit der Manipulation der Festplatte fortzufahren, wenn dies nicht der Fall ist. Wenn Sie mit dem Extundelete fortfahren, bevor die fs tatsächlich demontiert wurde, kann dies die gesamte Festplatte abspritzen.
Psusi
1
@psusi - "kann die ganze Scheibe abspritzen" ??! Mit einer Nur-Lese-Operation? Ich verstehe deine Argumentation nicht, oder was hat dich so paranoid gemacht? extundelete manipuliert die Festplatte nicht. Das Schlimmste, was ich mir vorstellen kann, ist, dass extundelete eine nicht gemountete / statische Partition erwartet. Wenn sich während des Lesens der Journalinformationen die träge nicht gemountete Festplatte aufgrund von Prozessen ändert, bei denen Dateien geöffnet waren, kann extundelete verwirrt werden und die Wiederherstellung fehlschlagen. "possible failed recovery"! = "abgespritzte Festplatte". Wenn es nicht funktioniert, fahren Sie herunter, beten Sie, dass Shutdown Ihre verlorenen Daten nicht zerstört und verwenden Sie eine Live-CD, wie Sie es vorschlagen.
Russ
1
Gott segne dieses Programm! Und du @Russ. Alle meine Dateien wiederhergestellt!
Vladimir Kovalchuk
14

Wenn Sie versehentlich eine Datei gelöscht haben und dennoch einige Zeichenfolgen kennen, die in dieser Datei geschrieben wurden, können Sie Folgendes verwenden:

grep -a -B 25 -A 100 'containing string' /dev/sda1 > result.txt

quelle
1
Was ist, wenn die Datei binär und kein Text ist?
Decio Lira
Angenommen, es war Text, wie kann er die Datei mit result.txt wiederherstellen? Ich
verstehe
Ich habe mehrere andere frühere Antworten ausprobiert. Keiner von ihnen hat funktioniert. Dieser einfache Trick hat es geschafft! Vielen Dank!
JamesThomasMoon1979
Es hat wirklich funktioniert, tolles Zeug. Danke vielmals.
Snehal Parmar
2
Es sollte beachtet werden, dass 25und 100nur einige magische Zahlen sind, die wahrscheinlich für den speziellen Fall optimiert werden müssen.
Andrea Lazzarotto
12

Um das Verzeichnis wiederherzustellen, können Sie verwenden extundelete

  1. Installieren Sie extundelete

    sudo apt-get install extundelete

  2. Befehl zum Wiederherstellen

    sudo extundelete --restore-directory /home/Documents/ /dev/sda1

Hinweis : dev/sda1Anstelle des Namens Ihrer Festplattenpartition.

/home/Documents/ ist Ihr Weg zum gelöschten Verzeichnis.

Aatish Sai
quelle
1
Früher autopsyhabe ich die benötigten Inodes gefunden und sie dann extundeletewiederhergestellt. Gut gearbeitet!
Raphael
Meine Ergebnisse sieht.....~/Books$ sudo extundelete --restore-directory /home/newubuntu/Books/LaTeX /dev/sda2 WARNING: Extended attributes are not restored. Loading filesystem metadata ... 522 groups loaded. Loading journal descriptors ... 32242 descriptors loaded. Writing output to directory RECOVERED_FILES/ Failed to restore file /home/newubuntu/Books/LaTeX Could not find correct inode number past inode 2621441.
alhelal
Ich möchte eine Bestätigung im Befehl senden. Wie?
Alhelal
sudo extundelete -y --restore-directory /home/Documents/ /dev/sda1 so was.
Alhelal
10

R-Linux (Recovery Studio) ist eines der besten. Ich habe dieses Tool schon oft benutzt. Ich habe in einem Unternehmen gearbeitet, in dem die kommerzielle Version verwendet wurde. 9/10 Mal wurde alles wiederhergestellt, was Sie wollen. Wirklich hervorragende Anwendung. Meine gerettet, und Freunde dahinter schon oft.

R-Linux ist ein kostenloses Hilfsprogramm zur Wiederherstellung von Dateien für das Dateisystem Ext2 / Ext3 / Ext4 FS, das unter Linux und unter verschiedenen Unix-Betriebssystemen verwendet wird. R-Linux verwendet dieselbe InteligentScan-Technologie wie R-Studio und flexible Parametereinstellungen, um die schnellste und zuverlässigste Dateiwiederherstellung für die Linux-Plattform bereitzustellen. Im Gegensatz zu R-Studio kann R-Linux jedoch keine Daten über das Netzwerk wiederherstellen, keine RAIDs rekonstruieren oder Objektkopien bereitstellen.

Funktionen (von ihrer Website):

R-Linux stellt Dateien wieder her :

  • Durch Virenbefall, Stromausfall oder Systemabsturz entfernt;
  • Nachdem die Partition mit den Dateien neu formatiert, beschädigt oder gelöscht wurde;
  • Wenn die Partitionsstruktur auf einer Festplatte geändert oder beschädigt wurde. In diesem Fall kann R-Linux die Festplatte nach zuvor vorhandenen Partitionen durchsuchen und Dateien von gefundenen Partitionen wiederherstellen.
  • Von Festplatten mit fehlerhaften Sektoren. In diesem Fall kann R-Linux zuerst die gesamte Festplatte oder einen Teil davon in eine Imagedatei kopieren und dann die Imagedatei verarbeiten. Dies ist besonders nützlich, wenn ständig neue fehlerhafte Sektoren auf der Festplatte angezeigt werden und die verbleibenden Informationen sofort gespeichert werden müssen.

R-Linux Advanced-Funktionen :

  • Standard "Windows Explorer" - Oberfläche.
  • Host-Betriebssystem:
    • Linux-Variante: Linux, Kernel 2.6 und höher
    • Windows-Variante: Win2000, XP, 2003, Vista, Windows 7, Windows 8
  • Unterstützte Dateisysteme: Nur Ext2 / Ext3 / Ext4 FS (Linux).

  • Erkennung und Analyse von dynamischen (Windows 2000 / XP / Vista / Win7), Basis-, GPT- und BSD- Partitionslayoutschemata (UNIX) und Apple-Partitionszuordnung . Es werden dynamische Partitionen über GPT sowie dynamische Partitionen über MBR unterstützt.

  • Erstellt Image-Dateien für eine gesamte Festplatte, eine logische Festplatte oder einen Teil davon. Solche Bilddateien können wie normale Datenträger verarbeitet werden. Bilder können entweder einfache exakte Objektkopien (Plain Images) sein, die mit den alten Versionen von R-Linux kompatibel sind, oder komprimierte Bilder, die komprimiert, in mehrere Teile aufgeteilt und kennwortgeschützt werden können. Solche Images sind mit den von R-Drive Image erstellten Images voll kompatibel, jedoch nicht mit den alten Versionen von R-Linux.

  • Erkennt lokalisierte Namen.

  • Wiederhergestellte Dateien können auf allen (einschließlich Netzwerk-) Datenträgern gespeichert werden, auf die das Host-Betriebssystem zugreifen kann.
blade19899
quelle
Ich hatte nicht erwartet, dass dies für Linux kostenlos sein würde. Ich kenne R-Studio bereits und es ist eine fantastische Software. Schön, dass es für Linux-Dateisysteme kostenlos ist.
0x01
1
Dieses Tool ist nur für die Wiederherstellung von Dateien mit weniger als 256
KB
6

Wenn Sie für den Import wiederhergestellter Dateien eine sekundäre interne Festplatte (vermutlich dieselbe für externe Festplatte) verwenden (von der Hauptfestplatte, wo sich die Dateien ursprünglich befanden), müssen Sie ein Verzeichnis erstellen, in das die Dateien auf der sekundären Festplatte abgelegt werden. Um dies zu tun, müssen Sie zuerst die BIOS-Einstellungen für das Booten von CD haben! 1. Starten Sie die Live Ubuntu Rescue-Remix-CD, geben Sie den Befehl zum Booten und überprüfen Sie beim Booten des Terminals Ihre Festplatten mit dem Befehl - Code:sudo fdisk -l

Erkennen Sie, welche Festplatte die Haupt- und welche die Nebenpartition ist und welche Partition auf Dateien überprüft und in welche sie wiederhergestellt werden soll - Linux Ext3 oder Windows NTFS! Meins war Linux. Habe genug Platz drauf! (Dann kannst du versuchen, Photorec ("sudo photorec") auszuführen und hoffentlich wirst du alle deine HDs sehen können. Ich hatte nicht so viel Glück, also musste ich ein Verzeichnis erstellen und die sek. HD mounten.)

  1. Erstellen Sie zuerst ein Verzeichnis für wiederhergestellte Dateien, z. B. - media / disk. Befehl erteilen - Code:sudo mkdir /media/disk

Wenn alles in Ordnung ist, kehrt die Terminal-Eingabeaufforderung einfach zurück.

  1. Müssen sekundäre HD einbinden, oder es wird unsichtbar, auch wenn "sudo fdisk -l" es zeigt. Gib einen Befehl für deinen sekundären HD-Code:sudo mount -t ext3 /dev/sdb2 /media/disk

Wenn alles in Ordnung ist, kehrt die Terminal-Eingabeaufforderung einfach zurück.

  1. Starten Sie Photorec mit dem Befehl - Code:

    sudo photorec

Gehen Sie die Einstellungen durch und wählen Sie nur die gewünschten Dateitypen aus. Andernfalls müssen Sie Tausende von Dateien durchsehen!

Weitere Informationen finden Sie unter: http: /www.ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu

Abhilash
quelle
5

Probieren Sie Scalpel

sudo apt-get install scalpel

Für mehr Information

Mann Skalpell

Rojan
quelle
versuche es jetzt. Ich verstehe nicht ganz, wie man der conf-Datei neue Dateien hinzufügt. Hast du keine Quelle mit Details?
Decio Lira,
2
Ich fand howtoforge.com/recover-deleted-fileses-with-scalpel, das besser als nichts ist. Viel Glück, das ist kein MS-DOS.
msw
siehe auch ubuntu.stackexchange.com/questions/2596/… Ich verwende eine relativ umfangreiche Systemsicherung, habe aber "Back in Time" eingerichtet, um ausgewählte Verzeichnisse aus / home / msw (einschließlich .config, die auch fängt .config/keepassx/*(Ihre Standorte können variieren)) auf eine Ersatzpartition pro Nacht. Ich benutze seit Ewigkeiten auch Unix und du wirst normalerweise nach dem zweiten Mal, wenn du wegbläst, ziemlich vorsichtig the-really-critical.file;)
msw
Scalpel scheint dasselbe zu tun wie das Erste, aber während das Skalpell seit 10 Jahren nicht mehr weiterentwickelt wird, hat es in den letzten Jahren in erster Linie viele Aktualisierungen erhalten.
Sebix
3

Autopsy und die Sleuthkit- Tools eignen sich hervorragend zum Wiederherstellen gelöschter Dateien mit einer benutzerfreundlichen Benutzeroberfläche und sind in den Repos verfügbar:

sudo apt install autopsy
nathwill
quelle
gut zu wissen. Werfen Sie einen Blick auf sie. ;)
Decio Lira
1
Ich würde es positiv bewerten, wenn Sie einige Links hinzugefügt hätten.
MadMike
Früher autopsyhabe ich die benötigten Inodes gefunden und sie dann extundeletewiederhergestellt. Gut gearbeitet!
Raphael
2

Installieren Sie das Skalpell

sudo apt-get install scalpel

Bearbeiten Sie die Datei scalpel.conf und kommentieren Sie die Dateitypen aus, die Sie wiederherstellen möchten. Erstellen Sie einen leeren Ordner (z. B. "recovered_data"). Suchen Sie die Partition, auf der sich Ihre Daten befanden. Sie können lsblk verwenden, um die Partitionszuordnung abzurufen.

sudo lsblk

Skalpell ausführen (vorausgesetzt, die Daten waren in sda1)

sudo scalpel -o recovered_data/ /dev/sda1
Kasun
quelle
1

Kürzlich habe ich ext3grep verwendet, um eine große SQLite 3-Datei wiederherzustellen, die aus einem ext3-Dateisystem gelöscht wurde.

Ich hatte viele andere nicht gelöschte Tools ausprobiert, die alle die Datei nicht wiederherstellen konnten (von einem dd-Image der Festplatte).

Um ext3grep verwenden zu können, musste ich die Quelle herunterladen und kompilieren. Lesen Sie http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html sorgfältig von oben nach unten, um zu verstehen, wie das ext3-Dateisystem funktioniert und wie Sie mithilfe des Journals ermitteln, wo sich gelöschte Dateien befinden Festplatte wurde ebenfalls benötigt.

Dies ist keine einfache Lösung, aber sehr, sehr mächtig. Wenn Sie bereit sind, ein paar Stunden für das Studium des Dokuments und das Kompilieren des Programms zu investieren, lohnt es sich.

Stacey Richards
quelle
Danke, das versuche ich vielleicht. Funktioniert dies nur mit ext3-Dateisystemen? Was ist mit ext4?
Decio Lira
Ich bin mir bei ext4 nicht sicher, aber ich denke ext4 ist abwärtskompatibel zu ext3. Ich würde davon ausgehen, dass es funktionieren würde, habe es aber noch nie versucht.
Stacey Richards