मुखपृष्ठ » कैसे » उबंटू लाइव सीडी का उपयोग कर फोरेंसिक विशेषज्ञ की तरह डेटा पुनर्प्राप्त करें

    उबंटू लाइव सीडी का उपयोग कर फोरेंसिक विशेषज्ञ की तरह डेटा पुनर्प्राप्त करें

    हटाए गए फ़ाइलों को पुनर्प्राप्त करने के लिए बहुत सारी उपयोगिताओं हैं, लेकिन क्या होगा यदि आप अपने कंप्यूटर को बूट नहीं कर सकते हैं, या पूरे ड्राइव को स्वरूपित किया गया है? हम आपको कुछ उपकरण दिखाएंगे जो गहरी खुदाई करेंगे और सबसे अधिक मायावी हटाए गए फ़ाइलों, या पूरे हार्ड ड्राइव विभाजन को पुनर्प्राप्त करेंगे.

    हमने आपको गलती से हटाई गई फ़ाइलों को पुनर्प्राप्त करने के लिए सरल तरीके दिखाए हैं, यहां तक ​​कि एक सरल विधि जो कि उबंटू लाइव सीडी से की जा सकती है, लेकिन हार्ड डिस्क के लिए जो भारी भ्रष्ट हो गए हैं, उन तरीकों से इसे काटने नहीं जा रहे हैं। इस लेख में, हम उन चार उपकरणों की जांच करेंगे जो सबसे गड़बड़ किए गए हार्ड ड्राइव से डेटा को पुनर्प्राप्त कर सकते हैं, भले ही वे विंडोज, लिनक्स, या मैक कंप्यूटर के लिए स्वरूपित किए गए हों, या भले ही विभाजन तालिका पूरी तरह से मिटा दी गई हो.

    नोट: ये उपकरण हार्ड डिस्क पर अधिलेखित किए गए डेटा को पुनर्प्राप्त नहीं कर सकते हैं। क्या हटाई गई फ़ाइल ओवरराइट की गई है या नहीं, यह कई कारकों पर निर्भर करता है - जितनी जल्दी आप महसूस करते हैं कि आप एक फ़ाइल पुनर्प्राप्त करना चाहते हैं, उतनी अधिक संभावना है कि आप ऐसा कर पाएंगे.

    हमारा सेटअप

    इन उपकरणों को दिखाने के लिए, हमने एक छोटी 1 जीबी हार्ड ड्राइव स्थापित की है, जिसमें से आधे स्थान को ext2 के रूप में विभाजित किया गया है, एक फाइल सिस्टम लिनक्स में इस्तेमाल किया गया है, और आधे स्थान को FAT32 के रूप में विभाजित किया गया है, जो पुराने विंडोज सिस्टम में प्रयुक्त एक फाइल सिस्टम है। हमने प्रत्येक हार्ड ड्राइव पर दस यादृच्छिक चित्र संग्रहीत किए.

    हमने तब GParted में विभाजनों को हटाकर विभाजन तालिका को हार्ड ड्राइव से मिटा दिया था.

    क्या हमारा डेटा हमेशा के लिए खो गया है?

    उपकरण स्थापित करना

    हमारे द्वारा उपयोग किए जा रहे सभी उपकरण उबंटू में हैं ब्रम्हांड कोष.

    रिपॉजिटरी को सक्षम करने के लिए, शीर्ष-बाएँ में सिस्टम पर क्लिक करके Synaptic Package Manager खोलें, फिर व्यवस्थापन> Synaptic Package Manager.

    सेटिंग्स> रिपॉजिटरी पर क्लिक करें और "कम्युनिटी-मेंन ओपन सोर्स सॉफ्टवेयर (ब्रह्मांड)" लेबल वाले बॉक्स में एक चेक जोड़ें.

    बंद करें पर क्लिक करें, और फिर मुख्य सिनैप्टिक पैकेज मैनेजर विंडो में, रीलोड बटन पर क्लिक करें। एक बार पैकेज सूची पुनः लोड हो जाने के बाद, और खोज इंडेक्स को फिर से बनाया गया है, निम्न सभी पैकेजों में से एक या सभी इंस्टॉलेशन के लिए खोजें और चिह्नित करें: TestDisk, सबसे महत्वपूर्ण, तथा छुरी.

    TestDisk टेस्टडिस्क शामिल है, जो खोए हुए विभाजन को ठीक कर सकता है और बूट सेक्टरों की मरम्मत कर सकता है, और PhotoRec, जो विभिन्न फाइल सिस्टमों के टन से कई अलग-अलग प्रकार की फ़ाइलों को पुनर्प्राप्त कर सकता है।.

    सबसे महत्वपूर्ण, मूल रूप से विशेष जांच के अमेरिकी वायु सेना कार्यालय द्वारा विकसित, अपने हेडर और अन्य आंतरिक संरचनाओं के आधार पर फ़ाइलों को पुनर्प्राप्त करता है। सबसे महत्वपूर्ण विभिन्न उपकरणों द्वारा उत्पन्न हार्ड ड्राइव या ड्राइव छवि फ़ाइलों पर काम करता है.

    आखिरकार, छुरी अग्रणी के रूप में एक ही कार्य करता है, लेकिन बढ़ाया प्रदर्शन और कम स्मृति उपयोग पर केंद्रित है। यदि आपके पास कम रैम वाली एक पुरानी मशीन है, तो स्केल्पल बेहतर तरीके से चल सकता है.

    हार्ड ड्राइव विभाजन पुनर्प्राप्त करें

    यदि आप अपनी हार्ड ड्राइव को माउंट नहीं कर सकते हैं, तो इसकी विभाजन तालिका दूषित हो सकती है। इससे पहले कि आप अपनी महत्वपूर्ण फ़ाइलों को पुनर्प्राप्त करने का प्रयास करना शुरू करें, आपके ड्राइव पर एक या एक से अधिक विभाजन को पुनर्प्राप्त करना संभव हो सकता है, आपकी सभी फ़ाइलों को एक चरण में पुनर्प्राप्त करना.

    TestDisk नौकरी के लिए उपकरण है। टर्मिनल (एप्लिकेशन> एक्सेसरीज़> टर्मिनल) खोलकर और इसमें टाइप करके इसे शुरू करें:

    सुडोल टेस्टिकल

    यदि आप चाहें, तो आप एक लॉग फ़ाइल बना सकते हैं, हालांकि यह प्रभावित नहीं करेगा कि आप कितना डेटा पुनर्प्राप्त करते हैं। एक बार जब आप अपनी पसंद बना लेते हैं, तो आपको अपनी मशीन पर स्टोरेज मीडिया की एक सूची के साथ बधाई दी जाती है। आपको उस हार्ड ड्राइव की पहचान करने में सक्षम होना चाहिए जिसे आप उसके आकार और लेबल से विभाजनों को पुनर्प्राप्त करना चाहते हैं.

    TestDisk आपको खोज करने के लिए विभाजन तालिका के प्रकार का चयन करने के लिए कहता है। ज्यादातर मामलों में (ext2 / 3, NTFS, FAT32, आदि) आपको इंटेल का चयन करना चाहिए और Enter दबाएं.

    विश्लेषण हाइलाइट करें और एंटर दबाएं.

    हमारे मामले में, हमारी छोटी हार्ड ड्राइव को पहले NTFS के रूप में स्वरूपित किया गया है। आश्चर्यजनक रूप से, टेस्टडिस्क इस विभाजन को पाता है, हालांकि यह इसे पुनर्प्राप्त करने में असमर्थ है.

    यह उन दो विभाजनों का भी पता लगाता है जिन्हें हमने अभी हटाया था। हम उनकी विशेषताओं को बदलने में सक्षम हैं, या अधिक विभाजन जोड़ सकते हैं, लेकिन हम केवल Enter दबाकर उन्हें पुनर्प्राप्त करेंगे.

    यदि TestDisk को आपके सभी विभाजन नहीं मिले हैं, तो आप बाएँ और दाएँ तीर कुंजियों के साथ उस विकल्प को चुनकर गहन खोज करने का प्रयास कर सकते हैं। हमारे पास केवल ये दो विभाजन थे, इसलिए हम उन्हें लिखें और Enter दबाकर पुनर्प्राप्त करेंगे.

    टेस्टडिस्क हमें सूचित करता है कि हमें रिबूट करना होगा.

    नोट: यदि आपकी उबंटू लाइव सीडी लगातार नहीं है, तो जब आप रीबूट करेंगे तो आपको पहले स्थापित किए गए किसी भी टूल को फिर से इंस्टॉल करना होगा.

    पुनः आरंभ करने के बाद, हमारे दोनों विभाजन अपने मूल राज्यों, चित्रों और सभी पर वापस आ गए हैं.

    कुछ प्रकार की फ़ाइलें पुनर्प्राप्त करें

    निम्नलिखित उदाहरणों के लिए, हमने दोनों विभाजनों से 10 चित्रों को हटा दिया और फिर उन्हें पुन: स्वरूपित किया.

    PhotoRec

    हम जो तीन टूल दिखाएंगे, PhotoRec कंसोल-आधारित उपयोगिता होने के बावजूद, सबसे उपयोगकर्ता के अनुकूल है। फ़ाइलें पुनर्प्राप्त करना शुरू करने के लिए, एक टर्मिनल खोलें (एप्लिकेशन> एक्सेसरीज़> टर्मिनल) और इसमें टाइप करें:

    सूद फोटोरेक

    शुरू करने के लिए, आपको खोज करने के लिए एक स्टोरेज डिवाइस का चयन करने के लिए कहा जाता है। आपको इसके आकार और लेबल द्वारा सही उपकरण की पहचान करने में सक्षम होना चाहिए। सही डिवाइस का चयन करें, और उसके बाद Enter दबाएँ.

    PhotoRec आपको खोज के लिए विभाजन के प्रकार का चयन करने के लिए कहता है। ज्यादातर मामलों में (ext2 / 3, NTFS, FAT, आदि) आपको इंटेल का चयन करना चाहिए और Enter दबाएं.

    आपको अपने चयनित हार्ड ड्राइव पर विभाजन की एक सूची दी गई है। यदि आप एक विभाजन पर सभी फ़ाइलों को पुनर्प्राप्त करना चाहते हैं, तो खोज और हिट दर्ज चुनें.

    हालाँकि, यह प्रक्रिया बहुत धीमी हो सकती है, और हमारे मामले में हम केवल चित्र फ़ाइलों की खोज करना चाहते हैं, इसलिए इसके बजाय हम फ़ाइल विकल्प का चयन करने के लिए सही तीर कुंजी का उपयोग करते हैं और Enter दबाते हैं.

    PhotoRec कई अलग-अलग प्रकार की फ़ाइलों को पुनर्प्राप्त कर सकता है, और प्रत्येक को अलग करने में बहुत समय लगेगा। इसके बजाय, हम सभी चयनों को खाली करने के लिए "s" दबाते हैं, और फिर उपयुक्त फ़ाइल प्रकारों- jpg, gif और png - को खोजते हैं और दायाँ तीर कुंजी दबाकर उनका चयन करते हैं.

    एक बार जब हम इन तीनों का चयन कर लेते हैं, तो हम इन चयनों को बचाने के लिए "b" दबाते हैं.

    हार्ड ड्राइव विभाजन की सूची पर वापस जाने के लिए एंटर दबाएं। हम अपने दोनों विभाजनों को खोजना चाहते हैं, इसलिए हम "कोई विभाजन नहीं" और "खोज" पर प्रकाश डालें और फिर Enter दबाएं.

    PhotoRec बरामद फ़ाइलों को संग्रहीत करने के लिए एक स्थान के लिए संकेत देता है। यदि आपके पास एक अलग स्वस्थ हार्ड ड्राइव है, तो हम वहां बरामद फाइलों को संग्रहीत करने की सलाह देते हैं। चूंकि हम बहुत अधिक नहीं वसूल रहे हैं, हम इसे उबंटू लाइव सीडी के डेस्कटॉप पर संग्रहीत करेंगे.

    नोट: आप जिस हार्ड ड्राइव से पुनर्प्राप्त हो रहे हैं, उस फ़ाइल को पुनर्प्राप्त न करें.

    PhotoRec हमारी हार्ड ड्राइव पर विभाजन से 20 चित्रों को पुनर्प्राप्त करने में सक्षम है!

    Recup_dir.1 निर्देशिका में एक त्वरित रूप से यह पुष्टि करता है कि PhotoRec ने हमारे सभी चित्रों को पुनर्प्राप्त कर लिया है, फ़ाइल नामों को सहेजें.

    सबसे महत्वपूर्ण

    सबसे महत्वपूर्ण एक कमांड-लाइन प्रोग्राम है जिसमें कोई इंटरएक्टिव इंटरफ़ेस नहीं है जैसे PhotoRec, लेकिन आपके पास जितना संभव हो उतना ड्राइव करने के लिए कई कमांड-लाइन विकल्प प्रदान करता है।.

    कमांड लाइन के माध्यम से घुमाए जा सकने वाले विकल्पों की पूरी सूची के लिए, टर्मिनल खोलें (एप्लिकेशन> एक्सेसरीज़> टर्मिनल) और टाइप करें:

    सबसे आगे -एच

    हमारे मामले में, कमांड लाइन विकल्प जो हम उपयोग करने जा रहे हैं वे हैं:

    • -टी, खोजने के लिए फ़ाइलों के प्रकारों की अल्पविराम से अलग सूची। हमारे मामले में, यह "jpeg, png, gif" है.
    • -v, वर्बोज़-मोड को सक्षम करते हुए, हमें इस बारे में अधिक जानकारी देना कि सबसे महत्वपूर्ण क्या है.
    • -ओ, बरामद फाइलों को स्टोर करने के लिए आउटपुट फ़ोल्डर। हमारे मामले में, हमने डेस्कटॉप पर "सबसे आगे" नामक एक निर्देशिका बनाई.
    • -i, इनपुट जो फ़ाइलों के लिए खोजा जाएगा। यह कई अलग-अलग स्वरूपों में एक डिस्क छवि हो सकती है; हालाँकि, हम एक हार्ड डिस्क, / dev / sda का उपयोग करेंगे.

    हमारा सबसे महत्वपूर्ण निमंत्रण है:

    sudo foremost -t jpeg, png, gif -o foremost -v -i / dev / sda

    आप जो खोज रहे हैं उसके आधार पर आपका मंगलाचरण अलग होगा और आप इसे कहां खोज रहे हैं.

    अग्रणी हार्ड ड्राइव पर संग्रहीत 20 फ़ाइलों में से 17 को पुनर्प्राप्त करने में सक्षम है.

    फ़ाइलों को देखते हुए, हम यह पुष्टि कर सकते हैं कि ये फाइलें अपेक्षाकृत अच्छी तरह से बरामद की गई थीं, हालांकि हम 00622449.pg के लिए थंबनेल में कुछ त्रुटियां देख सकते हैं।.

    इसका हिस्सा ext2 फाइलसिस्टम के कारण हो सकता है। सबसे महत्वपूर्ण है, जो कि ext2 जैसे लिनक्स फाइल सिस्टम के लिए -d कमांड-लाइन विकल्प का उपयोग करता है.

    हम सबसे आगे फिर से दौड़ेंगे, -d कमांड-लाइन विकल्प को हमारे सबसे पहले मंगलाचरण में जोड़ेंगे:

    सुडो फोर्मोस्ट -t जेपीईजी, पीएनजी, गिफ -d -o फोरेमोस्ट -v -i / dev / sda

    इस बार, सबसे महत्वपूर्ण सभी 20 छवियों को पुनर्प्राप्त करने में सक्षम है!

    तस्वीरों पर एक अंतिम रूप से पता चलता है कि चित्र बिना किसी समस्या के बरामद किए गए थे.

    छुरी

    स्केलपेल एक और शक्तिशाली कार्यक्रम है, जो सबसे महत्वपूर्ण है, जैसे भारी विन्यास। सबसे महत्वपूर्ण के विपरीत, स्केल्पेल को आपको किसी भी डेटा रिकवरी का प्रयास करने से पहले एक कॉन्फ़िगरेशन फ़ाइल को संपादित करने की आवश्यकता होती है.

    कोई भी पाठ संपादक करेगा, लेकिन हम कॉन्फ़िगरेशन फ़ाइल को बदलने के लिए gedit का उपयोग करेंगे। एक टर्मिनल विंडो (एप्लिकेशन> एक्सेसरीज़> टर्मिनल) में टाइप करें:

    सुडो गेडिट /etc/scalpel/scalpel.conf

    scalpel.conf में कई अलग-अलग फ़ाइल प्रकारों के बारे में जानकारी होती है। इस फ़ाइल और असहज लाइनों के माध्यम से स्क्रॉल करें जो एक फ़ाइल प्रकार से शुरू होती है जिसे आप पुनर्प्राप्त करना चाहते हैं (यानी उन पंक्तियों की शुरुआत में "#" वर्ण हटा दें).

    फ़ाइल को सहेजें और इसे बंद करें। टर्मिनल विंडो पर लौटें.

    स्केलपेल में एक टन कमांड-लाइन विकल्प भी हैं जो आपको जल्दी और प्रभावी ढंग से खोज करने में मदद कर सकते हैं; हालाँकि, हम सिर्फ इनपुट डिवाइस (/ dev / sda) और आउटपुट फोल्डर ("स्केलपेल" नामक एक फ़ोल्डर जिसे हम डेस्कटॉप पर बनाते हैं) को परिभाषित करेंगे।.

    हमारा मंगलाचरण है:

    सुडोल स्केलपेल / देव / sda -o स्केलपेल

    स्केलपेल हमारी 20 फाइलों में से 18 को रिकवर करने में सक्षम है.

    फ़ाइलें स्केलपेल बरामद पर एक त्वरित नज़र से पता चलता है कि हमारी अधिकांश फाइलें सफलतापूर्वक बरामद की गई थीं, हालांकि कुछ समस्याएं थीं (उदाहरण के लिए 00000012.jpg).

    निष्कर्ष

    हमारे त्वरित खिलौना उदाहरण में, TestDisk दो हटाए गए विभाजन को पुनर्प्राप्त करने में सक्षम था, और PhotoRec और सबसे महत्वपूर्ण सभी 20 हटाए गए चित्रों को पुनर्प्राप्त करने में सक्षम थे। स्केलपेल ने अधिकांश फ़ाइलों को पुनर्प्राप्त किया, लेकिन यह बहुत संभावना है कि स्केलपेल के लिए कमांड-लाइन विकल्पों के साथ खेलने से हमें सभी 20 छवियों को पुनर्प्राप्त करने में सक्षम होना चाहिए।.

    जब आपकी हार्ड ड्राइव में कुछ गलत हो जाता है तो ये उपकरण जीवन रक्षक होते हैं। यदि आपका डेटा कहीं हार्ड ड्राइव पर है, तो इनमें से एक टूल इसे नीचे ट्रैक करेगा!

    Windows Vista के किसी भी संस्करण पर छाया प्रतियों के साथ फ़ाइलें पुनर्प्राप्त करें
    फ़ायरफ़ॉक्स में लॉस्ट फॉर्म डेटा पुनर्प्राप्त करें
    मुफ्त के लिए किसी भी ओएस पर अपने डेस्कटॉप के वीडियो रिकॉर्ड करें
    अगला लेख
    एक उबंटू लाइव सीडी से NTFS हार्ड ड्राइव पर हटाए गए फ़ाइलों को पुनर्प्राप्त करें
    पिछला लेख
    Asciinema के साथ अपनी कमांड लाइन सत्र रिकॉर्ड करें