ติดตั้ง Scalpel (เครื่องมือการกู้คืนระบบไฟล์) เพื่อกู้คืนไฟล์/โฟลเดอร์ที่ถูกลบใน Linux

หลายครั้งเกิดขึ้นที่เรากด 'shift + Delete' ไปยังไฟล์โดยไม่ตั้งใจหรือโดยไม่ได้ตั้งใจ โดยธรรมชาติของมนุษย์ คุณจะมีนิสัยชอบใช้ 'shift + Del' แทนที่จะใช้ตัวเลือก 'ลบ' เท่านั้น จริงๆ แล้วฉันมีเหตุการณ์นี้เมื่อไม่กี่วันก่อน ฉันกำลังทำโปรเจ็กต์และบันทึกไฟล์งานของฉันไว้ในไดเร็กทอรี มีไฟล์ที่ไม่ต้องการจำนวนมากในไดเร็กทอรีนั้น และจำเป็นต้องลบอย่างถาวร ดังนั้นฉันจึงเริ่มลบมันทีละรายการ ขณะลบไฟล์เหล่านั้น ฉันกด 'shift Delete' ไปยังไฟล์สำคัญไฟล์หนึ่งของฉันโดยไม่ตั้งใจ ไฟล์ถูกลบออกจากไดเร็กทอรีของฉันอย่างถาวร ฉันสงสัยว่าจะกู้คืนไฟล์ที่ถูกลบได้อย่างไรและไม่รู้ว่าต้องทำอย่างไร ฉันเกือบใช้เวลามากในการกู้คืนไฟล์แต่ก็ไม่มีโชค

เมื่อรู้ความรู้ทางเทคนิคเล็กน้อย ฉันจึงรู้ว่าระบบไฟล์และ HDD ทำงานอย่างไร เมื่อคุณลบไฟล์โดยไม่ตั้งใจ เนื้อหาของไฟล์จะไม่ถูกลบออกจากคอมพิวเตอร์ของคุณ เพิ่งลบออกจากโฟลเดอร์ฐานข้อมูลและคุณไม่สามารถดูไฟล์ในไดเร็กทอรีได้ แต่ไฟล์จะยังคงอยู่ในฮาร์ดไดรฟ์ของคุณ โดยทั่วไประบบจะมีตัวชี้รายการเพื่อบล็อกบนอุปกรณ์จัดเก็บข้อมูลที่ยังมีข้อมูลอยู่ ข้อมูลจะไม่ถูกลบออกจากอุปกรณ์จัดเก็บข้อมูลบล็อกเว้นแต่และจนกว่าคุณจะเขียนทับด้วยไฟล์ใหม่ ในมุมมองนี้ ฉันประกาศว่าไฟล์ที่ถูกลบของฉันอาจยังคงอยู่ในพื้นที่ที่ไม่ได้จัดทำดัชนีของฮาร์ดดิสก์ อย่างไรก็ตาม ขอแนะนำให้ถอนการเชื่อมต่ออุปกรณ์ทันทีทันทีที่คุณรู้ว่าคุณได้ลบไฟล์สำคัญใดๆ แล้ว Unmount ช่วยให้คุณป้องกันไม่ให้ไฟล์ที่ถูกบล็อกถูกเขียนทับด้วยไฟล์ใหม่

ในสถานการณ์นี้ ฉันไม่ต้องการเขียนข้อมูลนั้นมากเกินไป ดังนั้น ฉันจึงเลือกที่จะค้นหาในฮาร์ดไดรฟ์โดยไม่ต้องติดตั้งมัน

โดยปกติใน Windows เราจะมีเครื่องมือของบุคคลที่สามมากมายสำหรับการกู้คืนข้อมูลที่สูญหาย แต่ใน Linux มีเพียงไม่กี่รายการเท่านั้น อย่างไรก็ตาม ฉันใช้ Ubuntu เป็นระบบปฏิบัติการ และเป็นการยากมากที่จะค้นหาเครื่องมือสำหรับกู้คืนไฟล์ที่สูญหาย ในระหว่างการหาข้อมูล ฉันได้รู้เกี่ยวกับ 'Scalpel' ซึ่งเป็นเครื่องมือที่ทำงานผ่านฮาร์ดไดรฟ์ทั้งหมดและกู้คืนไฟล์ที่สูญหาย ฉันติดตั้งและกู้คืนไฟล์ที่หายไปได้สำเร็จด้วยความช่วยเหลือของเครื่องมือ Scalpel ฉันต้องบอกว่าเป็นเครื่องมือที่น่าทึ่งจริงๆ

สิ่งนี้สามารถเกิดขึ้นกับคุณได้เช่นกัน ดังนั้นฉันจึงคิดที่จะแบ่งปันประสบการณ์ของฉันกับคุณ ในบทความนี้ ฉันจะแสดงวิธีการกู้คืนไฟล์ที่ถูกลบด้วยความช่วยเหลือของเครื่องมือมีดผ่าตัด ดังนั้นเราไปกันเลย

เครื่องมือมีดผ่าตัดคืออะไร?

Scalpel คือการกู้คืนระบบไฟล์โอเพ่นซอร์สสำหรับระบบปฏิบัติการ Linux และ Mac เครื่องมือนี้จะเยี่ยมชมพื้นที่จัดเก็บฐานข้อมูลแบบบล็อกและระบุไฟล์ที่ถูกลบจากนั้นและกู้คืนได้ทันที นอกเหนือจากการกู้คืนไฟล์แล้ว ยังมีประโยชน์สำหรับการสืบสวนทางนิติวิทยาศาสตร์ดิจิทัลอีกด้วย

วิธีการติดตั้ง Scalpel ใน Debian/Ubuntu และ Linux Mint

หากต้องการติดตั้ง Scalpel ให้เปิดเทอร์มินัลโดยทำ “CTrl+Alt+T” จากเดสก์ท็อปแล้วเรียกใช้คำสั่งต่อไปนี้

sudo apt-get install scalpel

ผลลัพธ์ตัวอย่าง

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

การติดตั้ง Scalpel ใน RHEL/CentOS และ Fedora

หากต้องการติดตั้งเครื่องมือการกู้คืนมีดผ่าตัด คุณต้องเปิดใช้งานพื้นที่เก็บข้อมูล epel ก่อน เมื่อเปิดใช้งานแล้ว คุณสามารถทำ 'yum' เพื่อติดตั้งได้ตามที่แสดง

yum install scalpel

ผลลัพธ์ตัวอย่าง

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

เมื่อติดตั้งมีดผ่าตัดแล้ว คุณจะต้องแก้ไขข้อความ ตามค่าเริ่มต้น ยูทิลิตี้มีดผ่าตัดจะมีไฟล์การกำหนดค่าของตัวเองในไดเรกทอรี '/etc' และเส้นทางแบบเต็มคือ “/etc/scalpel/scalpel.conf” หรือ “/etc /scalpel.conf“. คุณจะสังเกตเห็นว่าทุกอย่างถูกใส่เครื่องหมายความคิดเห็นไว้ (#) ดังนั้นก่อนที่จะใช้งานมีดผ่าตัด คุณจะต้องยกเลิกหมายเหตุรูปแบบไฟล์ที่คุณต้องการกู้คืน อย่างไรก็ตาม การไม่ใส่เครื่องหมายข้อคิดเห็นไฟล์ทั้งหมดจะใช้เวลานานและจะสร้างผลลัพธ์ที่ผิดพลาดอย่างมาก

ตัวอย่างเช่น ฉันต้องการกู้คืนเฉพาะไฟล์ '.jpg' ดังนั้นเพียงแค่ยกเลิกการใส่เครื่องหมายข้อคิดเห็นในส่วนไฟล์ '.jpg' สำหรับไฟล์การกำหนดค่ามีดผ่าตัด

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

ไปที่เทอร์มินัลแล้วพิมพ์ไวยากรณ์ต่อไปนี้ '/dev/sda1' คือตำแหน่งของอุปกรณ์ที่ไฟล์ถูกลบไปแล้ว

sudo scalpel /dev/sda1-o output

สวิตช์ '-o' ระบุไดเร็กทอรีเอาต์พุตที่คุณต้องการกู้คืนไฟล์ที่ถูกลบ ตรวจสอบให้แน่ใจว่าไดเร็กทอรีนี้ว่างเปล่าก่อนที่จะรันคำสั่งใดๆ มิฉะนั้นจะทำให้เกิดข้อผิดพลาด ผลลัพธ์ของคำสั่งข้างต้นคือ

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

อย่างที่คุณเห็น มีดผ่าตัดกำลังดำเนินการตามกระบวนการ และจะใช้เวลาในการกู้คืนไฟล์ที่ถูกลบ ขึ้นอยู่กับพื้นที่ดิสก์ที่คุณพยายามสแกนและความเร็วของเครื่อง

ฉันขอแนะนำให้คุณทุกคนใช้เพียง ลบ แทน "Shift + Delete" ให้เป็นนิสัย เพราะอย่างที่บอกการป้องกันย่อมดีกว่าการรักษาเสมอ