จำเป็นต้องกู้คืนข้อมูลจากฮาร์ดดิสก์ข้อมูลที่ฉันใช้ testdisk ในความพยายามซ่อมแซม mbr จากไวรัส rootkit


8

ก่อนที่ฉันจะเริ่มพูดสิ่งที่สถานการณ์ของฉันอยู่ที่นี่โปรดทราบว่าฉันจะขอบคุณตลอดไปสำหรับใครก็ตามที่สามารถช่วยฉันจัดการกับปัญหานี้ได้ ฉันมีรูปถ่ายที่นี่จากปีและปีของการทำงานอย่างเพียร ฉันเป็นช่างภาพกึ่งมืออาชีพและฮาร์ดดิสก์ของฉันมีข้อมูลประมาณ 1.5 TB จากภาพถ่าย บวก 100GB ของคลังเพลงทั้งหมดของฉันและดีวีดีทั้งหมดของฉันฉันใช้เวลาในการให้คำแนะนำเกี่ยวกับฮาร์ดดิสก์ของฉัน แต่รูปถ่ายของฉันเป็นสิ่งที่ฉันกังวลมากที่สุดพวกเขาไม่สามารถเปลี่ยนได้

ในระยะสั้นนี่คือสิ่งที่เกิดขึ้น: ฉันมีการสำรองข้อมูลของฉันเสมอโดยใช้ backblaze ซึ่งเป็นการสำรองข้อมูลออนไลน์สำหรับ windows ฉันตัดสินใจเมื่อ 3 เดือนที่แล้วฉันต้องการให้เซิร์ฟเวอร์ใช้ไฟล์ของฉันโดยใช้เพล็กซ์และการตัดสินใจว่าอูบุนตูเป็นวิธีที่ดีที่สุด ดังนั้นฉันจึงใช้วิธีการสำรองข้อมูลนี้โดยใช้สิ่งที่เรียกว่า "greyhole" และในขั้นตอนการตั้งค่า (2) ฮาร์ดไดรฟ์ 2TB และ (1) 1 TB harddrive บนโปรแกรมสำรอง greyhole นี้

นั่นคือตอนที่ฉันได้รูทคิท สิ่งนี้น่ารังเกียจและฉันคิดว่าหลังจาก 2 เดือนของการลองทุกอย่างฉันต้อง reflash ประวัติของฉันและยังคงมีไวรัสนี้ ฉันต้องฟอร์แมตฮาร์ดไดรฟ์ของฉันใหม่และสำรองข้อมูลทุกอย่างไว้ในฮาร์ดไดรฟ์ 1 ตัวที่เติมเต็มเกือบทั้งหมด (ฮาร์ดไดรฟ์ 2 TB) ฉันยังไม่ได้กำจัดไวรัสนี้มันเหลือเชื่อ ในที่สุดฉันก็จับได้ มันถูกฝังอยู่ในการ์ดอีเทอร์เน็ตเครือข่ายของฉัน ใครก็ตามที่อ่านสิ่งนี้ควรระวังว่าสิ่งใดก็ตามที่ฝังอยู่ในนั้นสามารถทำให้เราเตอร์ของคุณ LAN ทั้งหมดของคุณและอยู่บนคอมพิวเตอร์ของคุณได้แม้กระทั่งการรีสโตร์ไบออสเอง!

อย่างไรก็ตามหลังจากที่ฉันดูเหมือนจะกำจัดสิ่งที่ฉันยังคงมีไฟล์ของฉันในฮาร์ดไดรฟ์ของฉัน ฉันไม่ต้องการทำให้เครื่องใหม่ดังนั้นฉันพยายามเขียน MBR อีกครั้งโดยใช้ยูทิลิตี้ที่ชื่อว่า testdisk

ความผิดพลาดครั้งใหญ่

ฉันไม่รู้ว่ากำลังทำอะไรอยู่ และตอนนี้ฉันไม่สามารถอ่านข้อมูลของฉันได้!

นี่คือข่าวดีหรือไม่ หลังจาก testdisk ทำสิ่งนั้น (ซึ่งประกอบด้วยฉันวิเคราะห์ไดรฟ์และใช้คำสั่ง WRITE เพื่อทำความเสียหายมันใช้เวลาเพียง 1 วินาทีในการทำมันความหมาย - ฉันไม่ได้นั่งเขียน 5 ชั่วโมง บนไดรฟ์ที่มี "dd" มันเป็นสิ่งเล็ก ๆ น้อย ๆ ที่ฉันทำดังนั้นฉันคิดว่าข้อมูลยังต้องอยู่ในไดรฟ์

นี่คือสิ่งที่ฉันรู้:

  • ไดรฟ์เป็นไดรฟ์ข้อมูลไม่มีระบบปฏิบัติการ ฉันใช้ Ubuntu เป็น OS บนไดรฟ์อื่น
  • จัดรูปแบบเป็น ext3 หรือ ext4
  • ขนาด = 2 TB
  • files = ไม่สามารถถูกแทนที่สิ่งมีชีวิตทั้งหมดของฉันทำงาน - ไม่มีความพยายาม

backblaze ไม่มีไฟล์ของฉันอีกต่อไปเพราะมันใช้งานมานานกว่า 30 วัน ฉันได้เขียนสำรองข้อมูลอื่น ๆ ทั้งหมดของฉันด้วย 0 เนื่องจาก rootkit ฮาร์ดไดรฟ์นี้เป็นและเป็นแหล่งไฟล์เดียวของฉันในเวลาที่เกิดเหตุการณ์นี้ขึ้น บังเอิญนี่เป็นครั้งเดียวที่ฉันไม่ได้สำรองข้อมูลมาหลายปีแล้ว

นี่คือสำเนา / วางของ fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

และ lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

โปรดช่วยฉันทำอะไรได้บ้าง ฉันกลัวที่จะพลาดอีกครั้งด้วย testdisk ฉันแค่ต้องการกู้คืนไฟล์ ฉันไม่สามารถเห็นได้ว่าพวกเขาหายไปไหน

ขอบคุณมาก-


1
+1 สำหรับคำถามที่เขียนได้ดีมากและเอาต์พุตคำสั่งที่ดี
Kaz Wolfe

คำตอบ:


11

ในการกู้คืนข้อมูลจากภาพบนไดรฟ์ USB ภายนอกที่นี่เป็นขั้นตอนที่จำเป็น:

  1. หยุดใช้ไดรฟ์ที่เสียหาย
  2. เตรียมไดรฟ์ภายนอกให้พร้อมที่จะถือปริมาณข้อมูลสองเท่าจากขนาดไดรฟ์ที่เสียหายของคุณ ฟอร์แมตด้วย filesytem ที่สามารถเก็บไฟล์ขนาดใหญ่ได้เช่นเดียวกับที่สร้างจากไดรฟ์ดั้งเดิม (เช่น ext4)
  3. บูต Ubuntu จากเซสชันสด ( "ลอง Ubuntu" )
  4. เมานต์ไดรฟ์ภายนอกของคุณโดยใช้ Nautilus
  5. ตรวจสอบจุดเชื่อมต่อของไดรฟ์ภายนอกของคุณ
    เช่นกับ Properties -> ตำแหน่งบนเมนูคลิกขวา
  6. ตรวจสอบตำแหน่งของไดรฟ์ที่เสียหายด้วยคำสั่งใด ๆ เหล่านี้ในเทอร์มินัล

    sudo fdisk -l
    sudo blkid
    
  7. สร้างอิมเมจของไดรฟ์ที่เสียหาย

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    แทนที่sdXด้วยไดรฟ์ที่เสียหาย (เช่นsda) หรือพาร์ติชัน (เช่นsda1) แทนที่/mountpoint/DRIVENAME/ด้วยพา ธ ที่แท้จริงซึ่งติดตั้งไดรฟ์ USB ของคุณ

    เฉพาะในกรณีที่ไดรฟ์ที่เสียหาย ( sdX) มีขนาดเท่ากับไดรฟ์ภายนอกของคุณ ( sdY) คุณสามารถโคลนไดรฟ์ ( sudo dd if=/dev/sdX of=/dev/sdY) เพื่อดำเนินการช่วยเหลือข้อมูลในไดรฟ์ภายนอกที่โคลนได้ การทำงานกับรูปภาพตามที่แสดงข้างต้นเป็นวิธีที่ปลอดภัยกว่ามาก

    มันเป็นสิ่งสำคัญที่จุดนี้เพื่อให้ได้ddรับคำสั่งอย่างถูกต้อง หากคุณป้อนข้อมูลผิดof=คุณอาจสร้างความเสียหายให้กับข้อมูลทั้งหมดที่มีอยู่

  8. ติดตั้ง TestDisk บนระบบถ่ายทอดสดของคุณตามที่ได้อธิบายเพิ่มเติมในคำตอบของฉันด้านล่าง:

  9. อ่านคู่มือที่ยอดเยี่ยมและรัดกุมจากผู้ผลิต TestDisk เพื่อกู้คืน

  10. ในกรณีที่ไดรฟ์ของคุณมีขนาดใหญ่ติดตั้งอีกไดรฟ์ / พาร์ทิชันเพื่อเก็บข้อมูลที่กู้คืน หมายเหตุ mountpoint นี้สำหรับ testdisk
  11. เรียกใช้testdisk ติดตั้ง testdiskบนภาพไดรฟ์ของคุณ:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. บันทึกไดเรกทอรีและไฟล์ที่กู้คืนไปยังไดรฟ์สำรอง / พาร์ติชันของคุณ (ให้ testdisk จุดเมานท์ของไดรฟ์นี้เป็นที่เก็บข้อมูลในกรณีที่มันแตกต่างจากที่ที่อิมเมจอยู่)
  13. ตรวจสอบข้อมูลของคุณที่นั่น
  14. ถอนติดตั้งไดรฟ์ทั้งหมดหรือปิดเซสชันสด

ในกรณีที่เราไม่ประสบความสำเร็จในการกู้คืนไฟล์ของเราเราอาจเรียกใช้PhotoRecซึ่งติดตั้งพร้อมกับชุดทดสอบ TestDisk เพื่อกู้คืนไฟล์แต่ละไฟล์ (แต่จากนั้นการอนุญาตชื่อไฟล์และไดเรกทอรีจะหายไป)

ไดรฟ์ที่เสียหายของคุณยังคงไม่ถูกแตะต้อง เราสามารถปล่อยให้ไดรฟ์นี้ถูกกู้คืนโดยบริการระดับมืออาชีพในกรณีที่เราทำไม่ได้ตามขั้นตอนข้างต้น


1
นี่เป็นขั้นตอนการทำงานที่แน่นอนของฉันสำหรับการกู้คืนข้อมูล มีตัวแทน 10 คน
Kaz Wolfe

@takkat: มีลักษณะที่นี่ ฉันต้องการแก้ไขคำตอบของคุณเพื่อเปลี่ยนคำสั่ง (ไม่บังคับ) 'offending' ddเป็นภาพที่มีคำตอบในภาพ ....
Fabby

3

ฉันเชื่อว่าเหนือสิ่งอื่นใด testdisk ควรทำงานเป็นเครื่องมือในการกู้คืนข้อมูลของคุณ อย่างไรก็ตามก่อนอื่นคุณต้องปกป้องสำเนาของข้อมูลล่าสุด ประการแรกเพียงติดตั้งเป็นแบบอ่านอย่างเดียวจากที่นี่ (คุณสามารถนับใหม่ด้วยตัวเลือก ro ดูman mount)

ฉันขอแนะนำให้คุณใช้ดิสก์ขนาดใหญ่ (> 2TB) และคัดลอกอิมเมจที่สมบูรณ์ของดิสก์ปัจจุบันของคุณไปที่: dd if=/dev/sda of=disk-image.dd/ dev / sda ที่คุณติดตั้งแบบอ่านอย่างเดียวดิสก์ที่สำคัญทั้งหมดและ disk-image.dd เป็นไฟล์บนดิสก์ใหม่ ตรวจสอบให้แน่ใจว่ามี 2TB ฟรี

testdisk จะทำงานกับอิมเมจเช่นกันและควรจะสามารถจัดเรียงตารางพาร์ติชันได้ กลับไปที่คำถามและความคิดเห็นและเราสามารถนำมาได้ที่นี่

สถานที่ที่เหมาะสำหรับการเริ่มอ่านอยู่ที่นี่: http://epyxforensics.com/node/36 ในนั้นจะเริ่มต้นด้วยการทำสำเนา dd ตามที่ฉันแนะนำข้างต้นและยังคงทำงานกับสำเนา

คุณมีคอมพิวเตอร์สอบพร้อมติดตั้ง testdisk, gparted และ hexedit หรือไม่?


-1

ให้"extundelte"ลองกู้คืนไฟล์ของคุณ


ฉันใช้ extundelete สำเร็จแล้ว อย่างไรก็ตามนั่นเป็นสถานการณ์ของไฟล์ที่ถูกลบ ( rm -r *ในสถานที่ที่ไม่เหมาะสม) ในกรณีของ @Head Snow ดูเหมือนว่าเขาได้ทำการ MBR ของเขาและจะต้องใช้เครื่องมืออื่น
DrSAR

ไฟล์จะยังคงอยู่ที่นั่นใช่ไหม?
Wardr

จากคำอธิบายของคุณดูเหมือนว่าพวกเขาควรจะอยู่ตรงนั้น
DrSAR

-1

ลองRecuvaโดย Piriform (ผู้ผลิตCCleaner ) เครื่องมือนี้ฟรี ด้วย v1.51.1063 พวกเขาเพิ่มการสนับสนุนสำหรับระบบไฟล์ ext2 & ext3

เครื่องมือนี้จะสแกนดิสก์และพยายามกู้คืนแต่ละไฟล์ที่ถูกลบออกจากดิสก์ เครื่องมือนี้ได้บันทึกข้อมูลที่สำคัญสำหรับบุคคลบางคนที่ฉันรู้ว่าธุรกิจของพวกเขาขึ้นอยู่กับข้อมูลของพวกเขา (เช่นข้อมูล Quickbooks) หลังจากที่สูญเสียทุกอย่างไปยังดิสก์ที่เสียหายอย่างหนักหรือมีฟอร์แมตดิสก์

ฉันรู้ว่าRecuvaเป็นเครื่องมือที่มีเฉพาะใน Windows และ Mac เท่านั้น แต่เครื่องมือนี้สามารถใช้กับรูปแบบระบบไฟล์ Linux ทั่วไปได้ดังนั้นฉันจึงคิดว่าข้อมูลนี้มีประโยชน์ในเว็บไซต์ถาม - ตอบของ Ubuntu; โดยเฉพาะอย่างยิ่งเป็นวิธีแก้ปัญหาของคำถาม (แม้ว่าฉันแน่ใจว่าเขา / เธอได้พบวิธีแก้ปัญหาแล้ว)


2
เนื่องจาก AU สนับสนุนคำตอบคุณภาพสูงที่ไม่เพียง แต่ลิงก์ไปยังแหล่งข้อมูลบุคคลที่สาม (และคำอธิบายที่ยาวกว่าสาเหตุที่คำตอบของคุณไม่ได้อยู่นอกหัวข้อ) คุณสามารถอธิบายวิธีใช้ Recuva เพื่อกู้คืนข้อมูลจากดิสก์ด้วยตารางพาร์ติชันที่เขียนทับได้หรือไม่
David Foerster
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.