Įdiekite skalpelį (failų sistemos atkūrimo įrankį), kad atkurtumėte ištrintus failus/aplankus sistemoje „Linux“.

Dažnai nutinka taip, kad netyčia arba per klaidą paspaudžiame „Shift + delete“ prie failų. Dėl žmogaus prigimties esate įpratę naudoti „Shift + Del“, o ne tik „Ištrinti“. Aš iš tikrųjų turėjau šį incidentą prieš kelias dienas. Dirbau su projektu ir savo darbo failą išsaugojau kataloge. Tame kataloge buvo daug nepageidaujamų failų, todėl juos reikia ištrinti visam laikui. Taigi aš pradėjau juos trinti po vieną. Ištrindamas tuos failus netyčia paspaudžiau Shift delete“ prie vieno iš savo svarbių failų. Failas buvo visam laikui ištrintas iš mano katalogo. Man buvo įdomu, kaip atkurti ištrintus failus, ir neturėjau supratimo, ką daryti. Beveik praleidau daug laiko atkurdamas failą, bet nepasisekė.

Turėdamas šiek tiek techninių žinių, žinojau, kaip veikia failų sistema ir HDD. Netyčia ištrynus failą, jo turinys iš jūsų kompiuterio neištrinamas. Jis ką tik pašalinamas iš duomenų bazės aplanko ir nematote failo į katalogą, tačiau jis vis tiek lieka kažkur jūsų standžiajame diske. Iš esmės sistemoje yra sąrašo žymeklis, rodantis, kad saugojimo įrenginyje vis dar yra duomenų. Duomenys iš blokinio saugojimo įrenginio neištrinami, nebent ir tol, kol neperrašysite nauju failu. Šiuo požiūriu paskelbiau, kad mano ištrintas failas vis tiek gali likti kur nors neindeksuotoje standžiajo disko srityje. Tačiau rekomenduojama nedelsiant atjungti įrenginį, kai tik suprasite, kad ištrynėte svarbų failą. Unmount padeda išvengti užblokuotų failų perrašymo nauju failu.

Pagal šį scenarijų nenorėjau perrašyti tų duomenų, todėl norėjau ieškoti standžiajame diske jo nepridėjęs.

Paprastai sistemoje Windows gauname daugybę trečiųjų šalių įrankių prarastiems duomenims atkurti, tačiau naudojant Linux yra tik keletas. Tačiau aš naudoju Ubuntu kaip operacinę sistemą ir labai sunku rasti įrankį, kuris atkurtų prarastą failą. Atlikdamas tyrimą sužinojau apie „Skalpelis“ – įrankį, kuris veikia per visą standųjį diską ir atkuria prarastą failą. Įdiegiau ir sėkmingai atkūriau prarastą failą naudodamas Skalpelio įrankį. Tai tikrai nuostabi priemonė, turiu pasakyti.

Taip gali nutikti ir su jumis. Taigi sumaniau pasidalinti savo patirtimi su jumis. Šiame straipsnyje parodysiu, kaip atkurti ištrintus failus naudojant skalpelio įrankį. Taigi mes einame.

Kas yra skalpelio įrankis?

Skalpelis yra atvirojo kodo failų sistemos atkūrimo priemonė, skirta Linux ir Mac operacinėms sistemoms. Įrankis aplanko blokų duomenų bazės saugyklą ir identifikuoja iš jos ištrintus failus bei akimirksniu juos atkuria. Be failų atkūrimo, jis taip pat naudingas atliekant skaitmeninį teismo ekspertizės tyrimą.

Kaip įdiegti skalpelį „Debian“/„Ubuntu“ ir „Linux Mint“.

Norėdami įdiegti skalpelį, atidarykite terminalą spausdami „CTrl+Alt+T“ darbalaukyje ir paleiskite šią komandą.

sudo apt-get install scalpel

Pavyzdžio išvestis

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Skalpelio diegimas RHEL/CentOS ir Fedora

Norėdami įdiegti skalpelio atkūrimo įrankį, pirmiausia turite įjungti epel saugyklą. Kai jis įgalintas, galite atlikti „yum“, kad įdiegtumėte, kaip parodyta.

yum install scalpel

Pavyzdžio išvestis

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Įdiegę skalpelį turite atlikti teksto redagavimą. Pagal numatytuosius nustatymus skalpelio paslaugų programa turi savo konfigūracijos failą /etc kataloge, o visas kelias yra /etc/scalpel/scalpel.conf arba /etc /scalpel.conf“. Galite pastebėti, kad viskas komentuojama (#). Taigi prieš paleisdami skalpelį turite panaikinti failo formato, kurį reikia atkurti, komentarą. Tačiau viso failo komentarų panaikinimas užima daug laiko ir sugeneruos didžiulius klaidingus rezultatus.

Tarkime, kad, pavyzdžiui, noriu atkurti tik „.jpg“ failus, todėl tiesiog panaikinkite skalpelio konfigūracijos failo skiltį „.jpg“.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Eikite į terminalą ir įveskite šią sintaksę. „/dev/sda1“ yra įrenginio vieta, iš kurios failas jau ištrintas.

sudo scalpel /dev/sda1-o output

Jungiklis „-o“ nurodo išvesties katalogą, kuriame norite atkurti ištrintus failus. Prieš paleisdami bet kokią komandą įsitikinkite, kad šis katalogas yra tuščias, kitaip bus pateikta klaida. Aukščiau pateiktos komandos išvestis yra.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Kaip matote, skalpelis dabar atlieka savo procesą ir ištrinto failo atkūrimas užtruks, atsižvelgiant į disko vietą, kurią bandote nuskaityti, ir įrenginio greitį.

Rekomenduočiau jums visiems turėti įprotį naudoti tik Delete, o ne „Shift + Delete“. Nes, kaip sakoma, prevencija visada geriau nei gydymas.