A primeira coisa a fazer é tirar uma cópia forense da unidade. A duplicação da unidade oferece a flexibilidade de trabalhar no reparo do problema, garantindo que você não cause mais danos ao original. Eu gosto de dc3dd para isso melhor do que o dd, já que o dc3dd fornece um relatório de progresso enquanto é executado.
EDITAR: versões mais recentes de dd
incluem agora um relatório de progresso com o parâmetro status=progress
. Para ver se o seu ver man dd
1) Inicialize a partir de um Live media USB ou DVD - Escolha Experimente o Ubuntu
2) Abra um terminal com CTRL - ALT - T no prompt
which dc3dd
esta é apenas uma maneira rápida de ver se você tem a ferramenta certa instalada para a imagem forense. Se responder com um caminho como
/usr/bin/dc3dd
nós temos isso. Se não, temos que instalá-lo e entrar
sudo apt-get install dc3dd
antes de continuar para o passo 3
3) determine o nome da sua unidade de origem (antiga) Isso é provável / dev / sda mas para ter certeza veja com Discos da GUI na imagem anexada abaixo você pode ver que minha sda1 é uma unidade de 128GB com 2 partições de 64GB .
4) anexar a nova unidade Verifique se os nomes dos dispositivos com discos da GUI fazem anotações! O disco antigo será chamado de source e o novo será chamado target. Portanto, neste exemplo, source = / dev / sda e target serão / dev / sdb ou o que disserem em Discos
Agora que temos um plano, duplicaremos a origem para o destino usando dc3dd.
5) No terminal, emita o comando
dc3dd if=/dev/sdX of=/dev/sdY
altera X para corresponder à origem (provavelmente a) e Y para corresponder ao alvo (provavelmente b ou c) verifique suas anotações e certifique-se de ter esse direito !!!
Nota: Para criar uma imagem em vez de clonar uma alteração de unidade física de = / dev / sdY para of = diskimage.dd
Enquanto estamos copiando a unidade de origem para o alvo para garantir que sempre possamos voltar caso algo dê errado e não ficaremos piores do que antes, provavelmente nos familiarizaremos com as partições em geral. Um bom artigo pode ser encontrado no link Esse conhecimento será útil mais tarde no processo.
6) Quando a cópia estiver completa desligada, desconecte a unidade marcada como fonte (drive antigo) e guarde-a em algum lugar seguro.
7) Inicialize a máquina novamente com o Live DVD / USB com o alvo (nova unidade) conectado.
8) Vamos instalar o testdisk para recuperar as partições na unidade de destino que agora é idêntica à fonte em termos de dados.
Abra um terminal e emita o comando
sudo apt-get install testdisk
9) Quando a instalação estiver concluída, emitimos o comando testdisk
Os passos de exemplo a seguir são de um bom tutorial passo a passo fonte
One condition:
TestDisk must be executed with Administrator privileges.
Important points for using TestDisk:
To navigate in TestDisk, use the Arrow and PageUp/PageDown keys.
To proceed, confirm your choice(s) with the Enter key.
To return to a previous display or quit TestDisk, use the q (Quit) key.
To save modifications under TestDisk, you must confirm them with the y (Yes) and/or Enter keys, and
To actually write partition data to the MBR, you must choose the "Write" selection and press the Enter key.
Criação de log
Choose Create to instruct Testdisk to create a log file containing technical information and messages, unless you have a reason to append data to the log or you execute TestDisk from read only media and must create the log elsewhere.
Choose None if you do not want messages and details of the process to be written into a log file (useful if for example Testdisk was started from a read-only location).
Press Enter to proceed.
Todos os discos rígidos devem ser detectados e listados com o tamanho correto pelo TestDisk: seleção de disco
Use up/down arrow keys to select your hard drive with the lost partition/s.
Press Enter to Proceed.
TestDisk exibe os tipos de tabela de partição. tipo de tabela de partições de menu
Select the partition table type - usually the default value is the correct one as TestDisk auto-detects the partition table type.
Press Enter to Proceed.
Status atual da tabela de partições
TestDisk exibe os menus (consulte também Itens de menu TestDisk).
Use the default menu "Analyse" to check your current partition structure and search for lost partitions.
Confirm at Analyse with Enter to proceed.
Agora, sua estrutura de partição atual é listada. Examine sua estrutura de partições atual para erros e partições ausentes.
A primeira partição é listada duas vezes, o que aponta para uma partição corrompida ou uma entrada de tabela de partição inválida. Pontos de inicialização NTFS inválidos para um setor de inicialização NTFS defeituoso, portanto, é um sistema de arquivos corrompido. Apenas uma partição lógica (Label Partition 2) está disponível na partição estendida. Uma partição lógica está faltando.
Confirm at Quick Search to proceed.
Pesquisa rápida de partições
O TestDisk exibe os primeiros resultados em tempo real.
Durante a Pesquisa rápida, o TestDisk encontrou duas partições, incluindo a partição lógica ausente, chamada Partição 3.
Highlight this partition and press p to list your files (to go back to the previous display, press q to Quit, Files listed in red are deleted entries).
Todos os diretórios e dados estão listados corretamente.
Press Enter to proceed.
Salve a tabela de partições ou procure por mais partições? pesquisa de menu!
When all partitions are available and data correctly listed, you should go to the menu Write to save the partition structure. The menu Extd Part gives you the opportunity to decide if the extended partition will use all available disk space or only the required (minimal) space.
Since a partition, the first one, is still missing, highlight the menu Deeper Search (if not done automatically already) and press Enter to proceed.
Ainda falta uma partição: Pesquisa mais profunda
A Pesquisa Mais Profunda também procurará pelo setor de inicialização de backup FAT32, superbloco de inicialização de backup NTFS, superbloco de backup ext2 / ext3 para detectar mais partições, ele irá escanear cada cilindro
Após a pesquisa mais profunda, os resultados são exibidos da seguinte forma: A primeira partição "Partition 1" foi encontrada usando o setor de inicialização de backup. Na última linha do seu monitor, você pode ler a mensagem "NTFS encontrado usando o setor de backup!" e o tamanho da sua partição.A "partição 2" é exibida duas vezes com tamanho diferente. As partições listadas como D (eletizadas) não serão recuperadas se você as deixar listadas como excluídas. Ambas as partições são listadas com status D para excluídas, porque elas se sobrepõem umas às outras. Você precisa identificar qual partição recuperar.
Highlight the first partition Partition 2 and press p to list its data.
O sistema de arquivos da partição lógica superior (Label Partition 2) está danificado. sistema de arquivos danificado (clique no polegar).
Press q for Quit to go back to the previous display.
Let this partition Partition 2 with a damaged file system marked as D(deleted).
Highlight the second partition Partition 2 below
Press p to list its files.
Funciona, seus arquivos estão listados, você encontrou a partição correta!
Use the left/right arrow to navigate into your folders and watch your files for more verification
Nota: a listagem do diretório FAT é limitada a 10 clusters - alguns arquivos podem não aparecer, mas isso não afeta a recuperação.
Press q for Quit to go back to the previous display.
The available status are Primary, * bootable, Logical and Deleted.
Usando as teclas de seta para a esquerda / para a direita, altere o status da partição selecionada de D (preenchido) para L (ogical). Desta forma você poderá recuperar esta partição. definir partição para recuperar
Dica: leia Como reconhecer partições primárias e lógicas? Nota: Se uma partição estiver listada * (inicializável), mas se você não inicializar a partir dessa partição, poderá alterá-la para partição primária.
Press Enter to proceed.
Agora é possível escrever a nova estrutura de partição. Nota: A partição estendida é definida automaticamente. TestDisk reconhece isso usando a estrutura de partição diferente.
If all partitions are listed and only in this case, confirm at Write with Enter, y and OK.
Agora, as partições são registradas na tabela de partições. Recuperação do setor de inicialização do NTFS
O setor de inicialização da primeira partição denominada Partição 1 ainda está danificado. É hora de consertar isso. O status do setor de inicialização do NTFS é inválido e o setor de inicialização de backup é válido. Os setores de inicialização não são idênticos.
To copy the backup of the boot sector over the boot sector, select Backup BS, validate with Enter, use y to confirm and next OK.
Mais informações sobre como reparar seu setor de inicialização em Itens do Menu TestDisk. A seguinte mensagem é exibida:
O setor de inicialização e seu backup agora estão OK e idênticos: o setor de inicialização do NTFS foi recuperado com êxito.
Press Enter to quit.
TestDisk displays You have to restart your Computer to access your data so press Enter a last time and reboot your computer.
Encerrar as instruções de cgsecurity
Se a unidade estiver fisicamente danificada, precisaremos de uma abordagem diferente usando o ddrescue