precisa recuperar dados de um disco rígido de dados que usei testdisk na minha tentativa de reparar mbr de um vírus rootkit

8

Antes de eu começar a dizer qual é a minha situação aqui, por favor, saiba que eu seria GRATO para quem puder me ajudar com essa bagunça. Eu tenho fotos aqui de anos e anos de trabalho meticuloso. Eu sou um fotógrafo semi-profissional e meu disco rígido contém aproximadamente 1,5 TB de dados de fotos. Mais 100 GB de toda a minha biblioteca de música, e todos os meus dvd's eu levei tempo para dar uma dica no meu disco rígido. Mas minhas fotos são o que mais me preocupa, elas não são substituíveis.

Agora, aqui está o que aconteceu: Eu sempre tive um backup dos meus dados usando backblaze, que é um backup online para windows. Eu decidi cerca de 3 meses atrás eu queria obter um servidor indo para meus arquivos usando plex e decidiu unbuntu foi o melhor caminho a percorrer. Então, eu estava utilizando este método de backup usando algo chamado "greyhole" e no processo de configuração de (2) discos rígidos de 2TB e (1) disco rígido de 1 TB neste programa de backup.

Então é quando eu tenho um rootkit. Essa coisa foi desagradável e acho que depois de 2 meses de tentar de tudo, tive que reflash meus bios e ainda tinha esse vírus. Eu tive que reformatar todos os meus discos rígidos e backup de tudo em um disco rígido preenchendo-o quase inteiramente (um disco rígido de 2 TB). Eu ainda não me livrei desse vírus, foi incrível. Eventualmente eu peguei isso. Foi incorporado na minha placa de rede ethernet. Qualquer um que esteja lendo isso deve tomar cuidado para que qualquer coisa embutida possa infectar seu roteador, toda a sua rede local e permanecer no seu computador, mesmo com o reflashing da própria BIOS!

De qualquer forma, depois que eu parecia me livrar da coisa, ainda tinha meus arquivos no disco rígido. Eu não queria reinfectar minhas máquinas, então tentei reescrever o MBR usando um utilitário chamado testdisk.

GRANDE ERRO

Eu não fazia ideia do que estava fazendo. E agora não consigo ler minhas informações!

Aqui estão as boas novas? Depois que testdisk fez a coisa (que consistia em eu analisar a unidade e usar o comando WRITE para causar o dano, levei apenas um segundo para ser feito. Significado - Eu não passei por um processo de 5 horas escrevendo 0s na unidade com "dd". Foi uma pequena coisa que fiz. Então, por essa razão, estou pensando que os dados ainda precisam estar na unidade.

Aqui está o que eu sei:

  • a unidade é uma unidade de dados, sem sistema operacional. Eu usei o Ubuntu como o sistema operacional em outra unidade.
  • formatado como ext3 ou ext4
  • tamanho = 2 TB
  • arquivos = insubstituíveis, todo o meu trabalho de vida - sem exagero.

Além disso, o backblaze não tem mais meus arquivos porque já faz mais de 30 dias. Eu escrevi todos os meus outros backups com 0 devido ao rootkit. Este disco rígido foi e é a única fonte dos meus arquivos no momento em que isso aconteceu. Coincidentemente esta é a única vez em que estou sem um backup há muitos anos.

Aqui está uma cópia / colagem do fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

E lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Por favor, ajude o que posso fazer? Estou com medo de estragar tudo de novo com testdisk. Eu só quero recuperar os arquivos. Não consigo ver como eles se foram.

Muito obrigado -

    
por wardr 16.05.2013 / 10:14

4 respostas

10

Para recuperar dados de uma imagem em um drive USB externo, veja as etapas necessárias:

  1. Pare de usar a unidade danificada.
  2. Ter uma (s) unidade (s) externa (s) pronta (s) segurando duas vezes a quantidade de dados do tamanho da sua unidade danificada. Formate com um filesytem capaz de armazenar um arquivo tão grande como será criado a partir da unidade original (por exemplo, ext4)
  3. Inicialize o Ubuntu de uma sessão ao vivo ( "Experimente o Ubuntu" ).
  4. Monte sua unidade externa usando o Nautilus.
  5. Verifique o ponto de montagem da sua unidade externa.
    por exemplo, com Propriedades - > Localização no menu do botão direito.
  6. Verifique a localização da sua unidade danificada com qualquer um desses comandos em um terminal

    sudo fdisk -l
    sudo blkid
    
  7. Crie uma imagem da sua unidade danificada

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Substitua sdX pela unidade danificada (por exemplo, sda ) ou partição (por exemplo, sda1 ). Substitua /mountpoint/DRIVENAME/ pelo caminho real em que sua unidade USB foi montada.

    Apenas caso sua unidade danificada ( sdX ) seja igual ao tamanho da sua unidade externa ( sdY ) você é capaz de clonar unidade ( sudo dd if=/dev/sdX of=/dev/sdY ) para executar o resgate de dados em uma unidade externa clonada. Ainda assim, trabalhar em uma imagem como mostrado acima é uma abordagem muito mais segura.

    % bl0ck_qu0te%
  8. Instale o TestDisk no seu sistema ao vivo, conforme foi mais elaborado na minha resposta abaixo:

  9. Leia o guia incrível e conciso dos criadores do TestDisk para se recuperar.

  10. Caso sua unidade seja enorme, monte outra unidade / partição para armazenar os dados recuperados. Observe este ponto de montagem para o testdisk.
  11. Execute o testdisk na imagem da sua unidade:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. Salve diretórios e arquivos recuperados em sua unidade de backup / partição (dê ao testdisk o ponto de montagem desta unidade como local de armazenamento, caso seja diferente de onde a imagem está).
  13. Verifique se seus dados estão lá.
  14. Desmonte todas as unidades ou encerre a sessão ao vivo.

Caso não tenhamos conseguido recuperar nossos arquivos, também poderemos executar o PhotoRec que foi instalado junto com o pacote TestDisk para recuperar arquivos individuais (mas, em seguida, nomes de arquivos permissões e diretórios serão perdidos).

Sua unidade danificada ainda está intocada. Podemos até mesmo permitir que essa unidade seja recuperada por um serviço profissional, no caso de falharmos com as etapas acima.

    
por Takkat 16.05.2013 / 20:17
3

Acredito, entre outras coisas, que testdisk deve funcionar como uma ferramenta para recuperar seus dados. No entanto, em primeiro lugar - antes de fazer qualquer outra coisa, você precisa guardar sua última cópia dos dados. Em primeiro lugar, monte-o somente para leitura daqui em diante. (Você pode remontá-lo com a opção ro, veja man mount )

Eu sugiro que você arrume um disco grande (> 2 TB) e copie uma imagem completa do seu disco atual em: dd if=/dev/sda of=disk-image.dd onde / dev / sda é seu bloco somente leitura todo disco importante e disk-image.dd é um arquivo no novo disco, verifique se há 2 TB livres.

O

testdisk também funcionará em uma imagem e poderá ordenar a saída da tabela de partição. Volte com perguntas e comentários e podemos levá-lo daqui ...

Um bom lugar para começar a ler está aqui: link Em sua passagem começa por fazer uma cópia dd como sugeri acima e continua a trabalhar na cópia.

Você conseguiu um computador de exame com testdisk, gparted e talvez hexedit instalado?

    
por DrSAR 16.05.2013 / 10:56
-1

"extundelte" uma tentativa de recuperar seus arquivos

    
por mstrewe 16.05.2013 / 10:21
-1

Experimente Recuva da Piriform (fabricante do CCleaner ). A ferramenta está livre. Com v1.51.1063 eles adicionaram suporte para ext2 & amp; sistemas de arquivos ext3.

A ferramenta verificará um disco e tentará recuperar arquivos individuais que foram excluídos do disco. Essa ferramenta salvou dados críticos para algumas pessoas que conheço, cujo negócio dependia de seus dados (ou seja, dados de Quickbooks) depois de ter perdido tudo em um disco muito corrompido ou de ter o disco formatado.

Eu sei que Recuva é uma ferramenta disponível apenas no Windows e Mac, mas a ferramenta agora pode ser usada em formatos típicos de sistema de arquivos Linux, então eu achei a informação útil aqui em um Q & amp; ;Um site; particularmente como uma solução para a questão (embora, eu tenho certeza que ele / ela encontrou uma solução até agora).

    
por tlovely 21.10.2014 / 00:37