O Scalpel recupera o arquivo RAR, mas o arquivo recuperado é muito pequeno em tamanho

Navegue suas respostas
3

Estou usando o bisturi para recuperar um arquivo rar excluído acidentalmente, que tem 476 MB de tamanho. Eu tenho a seguinte configuração para recuperar arquivos RAR: 

   rar     n       10000000000000000000        Rar!

e executando o seguinte comando: 

sudo scalpel /dev/sda1 -o ./recovered/

mostra o seguinte resultado: 

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1: 100.0% |*********************************************************|  476.0 MB    00:00 ETAAllocating work queues...
Work queues allocation complete. Building carve lists...
Carve lists built.  Workload:
rar with header "\x52\x61\x72\x21" and footer "" --> 1 files
Carving files from image.
Image file pass 2/2.
/dev/sda1: 100.0% |*********************************************************|  476.0 MB    00:00 ETAProcessing of image file complete. Cleaning up...
Done.

Mas quando eu navego na pasta recovered como root e verifico o tamanho do rar recuperado ele diz que tem apenas 42.1 MB de tamanho. Como posso recuperar o arquivo RAR inteiro? Por favor, ajude.

    
por SMR 30.06.2014 / 10:44

2 respostas

3

Isso pode ser devido à incapacidade do software de recuperação, scalpel . Portanto, é uma idéia melhor usar outras ferramentas de recuperação, como r-linux , photorec

  

O R-Linux é um utilitário gratuito de recuperação de arquivos para o sistema de arquivos Ext2 / Ext3 / Ext4 FS usado no sistema operacional Linux e vários Unixes.

Qual partição é usada para armazenar dados recuperados de sda1?

atualizar

Não é uma boa ideia recuperar os dados para a mesma partição. A regra de ouro é nunca gravar em uma partição perdida de dados até que ela seja recuperada. Então, inicialize em um live CD, monte a partição no RO, recupere para outro armazenamento como um pen drive. Se você não tiver um armazenamento externo e tiver mais de 1,5 GB de RAM, recupere os dados para a RAM. O Ubuntu usa RAM para /tmp . Se você não tem certeza de montar alguma portaria da RAM em / mnt usando sudo mount -t tmpfs tmpfs /mnt -o size=600M

    
por totti 08.07.2014 / 19:12
2

Você infelizmente reduziu drasticamente suas chances de recuperar o arquivo inteiro escrevendo na mesma partição que o arquivo que está tentando recuperar está ativado. Leia @totti update e musher comment. A primeira coisa que você deve fazer ao tentar recuperar dados é deixar de usar a unidade em que os dados estão. Eu seguiria isso fazendo uma cópia forense da unidade em outra unidade ou em uma imagem. Dessa forma, você pode trabalhar na cópia e garantir que ainda tenha o original em uma condição ininterrupta.

    
por Elder Geek 13.07.2014 / 20:11

Tags

O Comodo Antivirus suporta o Ubuntu 14.04 Combine 2 comandos em 1 comando personalizado? [duplicado]