ติดตั้ง Scalpel (เครื่องมือการกู้คืนระบบไฟล์) เพื่อกู้คืนไฟล์/โฟลเดอร์ที่ถูกลบใน Linux
หลายครั้งเกิดขึ้นที่เรากด 'shift + Delete' ไปยังไฟล์โดยไม่ตั้งใจหรือโดยไม่ได้ตั้งใจ โดยธรรมชาติของมนุษย์ คุณจะมีนิสัยชอบใช้ 'shift + Del' แทนที่จะใช้ตัวเลือก 'ลบ' เท่านั้น จริงๆ แล้วฉันมีเหตุการณ์นี้เมื่อไม่กี่วันก่อน ฉันกำลังทำโปรเจ็กต์และบันทึกไฟล์งานของฉันไว้ในไดเร็กทอรี มีไฟล์ที่ไม่ต้องการจำนวนมากในไดเร็กทอรีนั้น และจำเป็นต้องลบอย่างถาวร ดังนั้นฉันจึงเริ่มลบมันทีละรายการ ขณะลบไฟล์เหล่านั้น ฉันกด 'shift Delete' ไปยังไฟล์สำคัญไฟล์หนึ่งของฉันโดยไม่ตั้งใจ ไฟล์ถูกลบออกจากไดเร็กทอรีของฉันอย่างถาวร ฉันสงสัยว่าจะกู้คืนไฟล์ที่ถูกลบได้อย่างไรและไม่รู้ว่าต้องทำอย่างไร ฉันเกือบใช้เวลามากในการกู้คืนไฟล์แต่ก็ไม่มีโชค
เมื่อรู้ความรู้ทางเทคนิคเล็กน้อย ฉันจึงรู้ว่าระบบไฟล์และ HDD ทำงานอย่างไร เมื่อคุณลบไฟล์โดยไม่ตั้งใจ เนื้อหาของไฟล์จะไม่ถูกลบออกจากคอมพิวเตอร์ของคุณ เพิ่งลบออกจากโฟลเดอร์ฐานข้อมูลและคุณไม่สามารถดูไฟล์ในไดเร็กทอรีได้ แต่ไฟล์จะยังคงอยู่ในฮาร์ดไดรฟ์ของคุณ โดยทั่วไประบบจะมีตัวชี้รายการเพื่อบล็อกบนอุปกรณ์จัดเก็บข้อมูลที่ยังมีข้อมูลอยู่ ข้อมูลจะไม่ถูกลบออกจากอุปกรณ์จัดเก็บข้อมูลบล็อกเว้นแต่และจนกว่าคุณจะเขียนทับด้วยไฟล์ใหม่ ในมุมมองนี้ ฉันประกาศว่าไฟล์ที่ถูกลบของฉันอาจยังคงอยู่ในพื้นที่ที่ไม่ได้จัดทำดัชนีของฮาร์ดดิสก์ อย่างไรก็ตาม ขอแนะนำให้ถอนการเชื่อมต่ออุปกรณ์ทันทีทันทีที่คุณรู้ว่าคุณได้ลบไฟล์สำคัญใดๆ แล้ว Unmount ช่วยให้คุณป้องกันไม่ให้ไฟล์ที่ถูกบล็อกถูกเขียนทับด้วยไฟล์ใหม่
ในสถานการณ์นี้ ฉันไม่ต้องการเขียนข้อมูลนั้นมากเกินไป ดังนั้น ฉันจึงเลือกที่จะค้นหาในฮาร์ดไดรฟ์โดยไม่ต้องติดตั้งมัน
โดยปกติใน Windows เราจะมีเครื่องมือของบุคคลที่สามมากมายสำหรับการกู้คืนข้อมูลที่สูญหาย แต่ใน Linux มีเพียงไม่กี่รายการเท่านั้น อย่างไรก็ตาม ฉันใช้ Ubuntu เป็นระบบปฏิบัติการ และเป็นการยากมากที่จะค้นหาเครื่องมือสำหรับกู้คืนไฟล์ที่สูญหาย ในระหว่างการหาข้อมูล ฉันได้รู้เกี่ยวกับ 'Scalpel' ซึ่งเป็นเครื่องมือที่ทำงานผ่านฮาร์ดไดรฟ์ทั้งหมดและกู้คืนไฟล์ที่สูญหาย ฉันติดตั้งและกู้คืนไฟล์ที่หายไปได้สำเร็จด้วยความช่วยเหลือของเครื่องมือ Scalpel ฉันต้องบอกว่าเป็นเครื่องมือที่น่าทึ่งจริงๆ
สิ่งนี้สามารถเกิดขึ้นกับคุณได้เช่นกัน ดังนั้นฉันจึงคิดที่จะแบ่งปันประสบการณ์ของฉันกับคุณ ในบทความนี้ ฉันจะแสดงวิธีการกู้คืนไฟล์ที่ถูกลบด้วยความช่วยเหลือของเครื่องมือมีดผ่าตัด ดังนั้นเราไปกันเลย
เครื่องมือมีดผ่าตัดคืออะไร?
Scalpel คือการกู้คืนระบบไฟล์โอเพ่นซอร์สสำหรับระบบปฏิบัติการ Linux และ Mac เครื่องมือนี้จะเยี่ยมชมพื้นที่จัดเก็บฐานข้อมูลแบบบล็อกและระบุไฟล์ที่ถูกลบจากนั้นและกู้คืนได้ทันที นอกเหนือจากการกู้คืนไฟล์แล้ว ยังมีประโยชน์สำหรับการสืบสวนทางนิติวิทยาศาสตร์ดิจิทัลอีกด้วย
วิธีการติดตั้ง Scalpel ใน Debian/Ubuntu และ Linux Mint
หากต้องการติดตั้ง Scalpel ให้เปิดเทอร์มินัลโดยทำ “CTrl+Alt+T” จากเดสก์ท็อปแล้วเรียกใช้คำสั่งต่อไปนี้
sudo apt-get install scalpel
ผลลัพธ์ตัวอย่าง
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$
การติดตั้ง Scalpel ใน RHEL/CentOS และ Fedora
หากต้องการติดตั้งเครื่องมือการกู้คืนมีดผ่าตัด คุณต้องเปิดใช้งานพื้นที่เก็บข้อมูล epel ก่อน เมื่อเปิดใช้งานแล้ว คุณสามารถทำ 'yum' เพื่อติดตั้งได้ตามที่แสดง
yum install scalpel
ผลลัพธ์ตัวอย่าง
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
* base: centos.01link.hk
* epel: mirror.nus.edu.sg
* epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
==========================================================================================================================================================
Package Arch Version Repository Size
==========================================================================================================================================================
Installing:
scalpel i686 2.0-1.el6 epel 50 k
Transaction Summary
==========================================================================================================================================================
Install 1 Package(s)
Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm | 50 kB 00:00
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Installing : scalpel-2.0-1.el6.i686 1/1
Verifying : scalpel-2.0-1.el6.i686 1/1
Installed:
scalpel.i686 0:2.0-1.el6
Complete!
เมื่อติดตั้งมีดผ่าตัดแล้ว คุณจะต้องแก้ไขข้อความ ตามค่าเริ่มต้น ยูทิลิตี้มีดผ่าตัดจะมีไฟล์การกำหนดค่าของตัวเองในไดเรกทอรี '/etc' และเส้นทางแบบเต็มคือ “/etc/scalpel/scalpel.conf” หรือ “/etc /scalpel.conf“. คุณจะสังเกตเห็นว่าทุกอย่างถูกใส่เครื่องหมายความคิดเห็นไว้ (#) ดังนั้นก่อนที่จะใช้งานมีดผ่าตัด คุณจะต้องยกเลิกหมายเหตุรูปแบบไฟล์ที่คุณต้องการกู้คืน อย่างไรก็ตาม การไม่ใส่เครื่องหมายข้อคิดเห็นไฟล์ทั้งหมดจะใช้เวลานานและจะสร้างผลลัพธ์ที่ผิดพลาดอย่างมาก
ตัวอย่างเช่น ฉันต้องการกู้คืนเฉพาะไฟล์ '.jpg' ดังนั้นเพียงแค่ยกเลิกการใส่เครื่องหมายข้อคิดเห็นในส่วนไฟล์ '.jpg' สำหรับไฟล์การกำหนดค่ามีดผ่าตัด
GIF and JPG files (very common)
gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9
ไปที่เทอร์มินัลแล้วพิมพ์ไวยากรณ์ต่อไปนี้ '/dev/sda1' คือตำแหน่งของอุปกรณ์ที่ไฟล์ถูกลบไปแล้ว
sudo scalpel /dev/sda1-o output
สวิตช์ '-o' ระบุไดเร็กทอรีเอาต์พุตที่คุณต้องการกู้คืนไฟล์ที่ถูกลบ ตรวจสอบให้แน่ใจว่าไดเร็กทอรีนี้ว่างเปล่าก่อนที่จะรันคำสั่งใดๆ มิฉะนั้นจะทำให้เกิดข้อผิดพลาด ผลลัพธ์ของคำสั่งข้างต้นคือ
Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.
Opening target "/dev/sda1"
Image file pass 1/2.
/dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA
อย่างที่คุณเห็น มีดผ่าตัดกำลังดำเนินการตามกระบวนการ และจะใช้เวลาในการกู้คืนไฟล์ที่ถูกลบ ขึ้นอยู่กับพื้นที่ดิสก์ที่คุณพยายามสแกนและความเร็วของเครื่อง
ฉันขอแนะนำให้คุณทุกคนใช้เพียง ลบ แทน "Shift + Delete" ให้เป็นนิสัย เพราะอย่างที่บอกการป้องกันย่อมดีกว่าการรักษาเสมอ