Instalirajte Scalpel (alat za oporavak datotečnog sustava) za oporavak izbrisanih datoteka/mapa u Linuxu

Mnogo puta se dogodi da slučajno ili greškom pritisnemo 'shift + delete' za datoteke. Po ljudskoj prirodi imate naviku koristiti 'shift + Del' umjesto da koristite samo opciju 'Izbriši'. Zapravo sam imao ovaj incident prije nekoliko dana. Radio sam na projektu i spremio svoju radnu datoteku u imenik. Bilo je mnogo neželjenih datoteka u tom direktoriju i potrebno ih je trajno izbrisati. Pa sam ih počeo brisati jednog po jednog. Dok sam brisao te datoteke, slučajno sam pritisnuo 'shift delete' na jednu od svojih važnih datoteka. Datoteka je trajno izbrisana iz mog imenika. Pitao sam se kako vratiti izbrisane datoteke i nisam imao pojma što učiniti. Skoro sam proveo dosta vremena obnavljajući datoteku, ali bez uspjeha.

Posjedujući malo tehničkog znanja znao sam kako funkcionira datotečni sustav i HDD. Kada slučajno izbrišete datoteku, sadržaj datoteke se ne briše s vašeg računala. Upravo je uklonjena iz mape baze podataka i ne možete vidjeti datoteku u direktoriju, ali i dalje ostaje negdje na vašem tvrdom disku. Uglavnom sustav ima pokazivač popisa na blokove na uređaju za pohranu koji još uvijek ima podatke. Podaci se ne brišu s blokovnog uređaja za pohranu osim ako i dok ih ne prepišete novom datotekom. S ove točke gledišta objavio sam da moja obrisana datoteka još uvijek može ostati negdje u neindeksiranom području tvrdog diska. Međutim, preporučuje se da odmah isključite uređaj čim shvatite da ste izbrisali bilo koju važnu datoteku. Unmount vam pomaže spriječiti da se blokirane datoteke prebrišu novom datotekom.

U ovom scenariju nisam želio previše pisati te podatke, pa sam radije pretraživao tvrdi disk bez montiranja.

Obično u Windows dobivamo mnoštvo alata treće strane za vraćanje izgubljenih podataka, ali u Linuxu samo nekoliko. Međutim, ja koristim Ubuntu kao operativni sustav i vrlo je teško pronaći alat koji vraća izgubljenu datoteku. Tijekom istraživanja upoznao sam 'Scalpel' alat koji prolazi kroz cijeli tvrdi disk i vraća izgubljenu datoteku. Instalirao sam i uspješno oporavio izgubljenu datoteku uz pomoć alata Scalpel. Moram reći da je to stvarno nevjerojatan alat.

To se može dogoditi i vama. Pa sam pomislio podijeliti svoje iskustvo s vama. U ovom članku ću vam pokazati kako oporaviti izbrisane datoteke uz pomoć alata skalpel. Pa idemo.

Što je Scalpel Tool?

Scalpel je oporavak datotečnog sustava otvorenog koda za operativne sustave Linux i Mac. Alat posjećuje pohranu blok baze podataka i identificira izbrisane datoteke iz nje te ih trenutno vraća. Osim za oporavak datoteka, također je koristan za digitalnu forenzičku istragu.

Kako instalirati Scalpel u Debian/Ubuntu i Linux Mint

Da biste instalirali Scalpel, otvorite terminal tako što ćete napraviti “CTrl+Alt+T” s radne površine i pokrenite sljedeću naredbu.

sudo apt-get install scalpel

Uzorak izlaza

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Instalacija Scalpela u RHEL/CentOS i Fedora

Da biste instalirali alat za oporavak skalpela, prvo morate omogućiti epel repozitorij. Nakon što je omogućeno, možete učiniti 'njam' da biste ga instalirali kao što je prikazano.

yum install scalpel

Uzorak izlaza

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Nakon instaliranja skalpela potrebno je izvršiti uređivanje teksta. Prema zadanim postavkama uslužni program scalpel ima vlastitu konfiguracijsku datoteku u direktoriju '/etc', a puni put je “/etc/scalpel/scalpel.conf” ili “/etc /scalpel.conf“. Možete primijetiti da je sve komentirano (#). Stoga prije pokretanja skalpela morate odkomentirati format datoteke koji trebate oporaviti. Međutim, odkomentiranje cijele datoteke oduzima puno vremena i generira ogromne lažne rezultate.

Recimo, na primjer, da želim oporaviti samo datoteke '.jpg', pa jednostavno skinite komentar s odjeljka datoteke '.jpg' za konfiguracijsku datoteku skalpela.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Idite na terminal i upišite sljedeću sintaksu. ‘/dev/sda1’ je lokacija uređaja s koje je datoteka već izbrisana.

sudo scalpel /dev/sda1-o output

Prekidač ‘-o’ označava izlazni direktorij u koji želite vratiti izbrisane datoteke. Provjerite je li ovaj direktorij prazan prije pokretanja bilo koje naredbe inače će vam dati pogrešku. Izlaz gornje naredbe je.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Kao što vidite, skalpel sada izvodi svoj proces i trebat će vremena za oporavak izbrisane datoteke, ovisno o prostoru na disku koji pokušavate skenirati i brzini stroja.

Svima bih vam preporučio da imate naviku koristiti samo delete umjesto “Shift + Delete“. Jer kao što je rečeno spriječiti je uvijek bolje nego liječiti.