Продолжим изучать форензику и знакомиться с нужными инструментами. Тема сегодняшней статьи — восстановление удаленных файлов в Linux. Я покажу, как установить утилиту PhotoRec и с ее помощью восстановить удаленные данные Linux (Ubuntu, Fedora, Arch, и т.д).
Еще по теме: Определение типа файла без расширения в Linux
Восстановление удаленных файлов Linux с PhotoRec
PhotoRec (сокращение от Photo Recovery) создан для восстановления медиафайлов, удаленных с жестких дисков, ssd, SD-карт, и других съемных носителей. Кроме медиафайлов инструмент может восстановить и другие типы удаленных файлов.
Приступим и начнем с установки PhotoRec в Linux.
Установка PhotoRec в Linux
Чтобы установить PhotoRec, выполните команду:
|
1 |
sudo apt -y install testdisk |
После завершения установки можно запустить утилиту Photorec:
|
1 |
sudo photorec |
Восстановление удаленных файлов с помощью PhotoRec
Для демонстрации я удалил файл изображения.
Теперь попробуем его восстановить. Запустим PhotoRec в терминале.
|
1 |
sudo photorec |
После запуска PhotoRec, выберите носитель, файлы которого необходимо восстановить и нажмите Enter.
На следующем этапе нужно выбрать раздел.
Теперь необходимо выбрать тип файла в меню параметров файла. В моем случае это файлы JPG. Все остальное типы в данном случае не интересуют, и если не убрать галочки, операция восстановления данных займет больше времени.
Далее следует выбрать файловую систему, которая в моем случае — ext4.
Теперь выберите тип сканирования: Free или Whole.
- Free — восстанавливает только файл из свободного / нераспределенного пространства файловой системы, то есть восстанавливает только удаленные файлы.
- Whole — восстанавливает все файлы. Этот режим стоит использовать при повреждении файловой системы.
Вы могли заметить, когда я запускал команду, я находился в каталоге ~/ Desktop. Это то место, куда будут по умолчанию сохранены файлы если не указать другой каталог.
Как только завершите выбор папки, нажмите букву C, и программа начнет поиск и восстановление удаленных файлов.
Восстановление может занять некоторое время в зависимости от количества выбранных типов файлов и информации на носителе.
Восстановленные файлы будут сохранены в папки recup_dir.
Заключение
На этом все. Теперь вы знаете, как восстановить удаленные файлы Linux с помощью PhotoRec. На мой взгляд это один из самых эффективных инструментов для восстановления файлов.
Кстати, если будете использовать PhotoRec в Linux, тогда стоит добавить sort-PhotorecRecoveredFiles, который упрощает работу с восстановленными файлами.
