Ricerca nel sito web

Installa Scalpel (uno strumento di ripristino del file system) per recuperare file/cartelle cancellati in Linux


Molte volte accade che accidentalmente o erroneamente premiamo "shift + delete" sui file. Per natura umana hai l'abitudine di usare "shift + Canc" invece di usare solo l'opzione "Elimina". In realtà ho avuto questo incidente qualche giorno fa. Stavo lavorando a un progetto e ho salvato il mio file di lavoro in una directory. C'erano molti file indesiderati in quella directory e devono essere eliminati in modo permanente. Quindi ho iniziato a cancellarli uno per uno. Durante l'eliminazione di questi file, ho accidentalmente premuto "shift delete" su uno dei miei file importanti. Il file è stato eliminato definitivamente dalla mia directory. Mi chiedevo come recuperare i file cancellati e non avevo idea di cosa fare. Ho quasi passato molto tempo a ripristinare il file ma senza fortuna.

Avendo un po' di conoscenze tecniche, sapevo come funzionano il file system e l'HDD. Quando elimini un file accidentalmente, il contenuto del file non viene eliminato dal tuo computer. Viene semplicemente rimosso dalla cartella del database e non puoi vedere il file nella directory, ma rimane comunque da qualche parte nel tuo disco rigido. Fondamentalmente il sistema ha un puntatore ad elenco sui blocchi sul dispositivo di archiviazione con ancora i dati. I dati non vengono eliminati dal dispositivo di archiviazione a blocchi a meno che e finché non li sovrascrivi con un nuovo file. A questo punto ho pensato che il mio file cancellato potrebbe ancora rimanere da qualche parte in un'area non indicizzata del disco rigido. Tuttavia si consiglia di smontare immediatamente un dispositivo non appena ti accorgi di aver eliminato qualsiasi file importante. Smonta ti aiuta a impedire che i file bloccati vengano sovrascritti con un nuovo file.

In questo scenario non volevo sovrascrivere quei dati, quindi ho preferito cercarli nel disco rigido senza montarli.

Normalmente in Windows abbiamo tonnellate di strumenti di terze parti per recuperare i dati persi, ma in Linux solo pochi. Tuttavia utilizzo Ubuntu come sistema operativo ed è molto difficile trovare uno strumento che recuperi i file persi. Durante la mia ricerca sono venuto a conoscenza di "Scalpel", uno strumento che esegue l'intero disco rigido e recupera un file perduto. Ho installato e recuperato con successo il mio file perduto con l'aiuto dello strumento Scalpel. È uno strumento davvero straordinario, devo dire.

Questo può succedere anche a te. Quindi ho pensato di condividere con voi la mia esperienza. In questo articolo ti mostrerò come recuperare file cancellati con l'aiuto dello strumento bisturi. Quindi eccoci qui.

Cos'è lo strumento bisturi?

Scalpel è un ripristino di file system open source per i sistemi operativi Linux e Mac. Lo strumento visita l'archivio del database dei blocchi e identifica i file eliminati da esso e li recupera immediatamente. Oltre al recupero dei file, è utile anche per le indagini forensi digitali.

Come installare Scalpel in Debian/Ubuntu e Linux Mint

Per installare Scalpel, apri il terminale eseguendo "CTrl+Alt+T" dal desktop ed esegui il comando seguente.

sudo apt-get install scalpel
Uscita del campione
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Installazione di Scalpel in RHEL/CentOS e Fedora

Per installare lo strumento di ripristino del bisturi, devi prima abilitare il repository epel. Una volta abilitato, puoi fare "yum" per installarlo come mostrato.

yum install scalpel
Uscita del campione
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Una volta installato il bisturi, è necessario modificare il testo. Per impostazione predefinita, l'utilità bisturi ha il proprio file di configurazione nella directory '/etc' e il percorso completo è "/etc/scalpel/scalpel.conf" o "/etc /scalpel.conf“. Puoi notare che tutto è commentato (#). Pertanto, prima di eseguire bisturi è necessario rimuovere il commento dal formato del file che si desidera ripristinare. Tuttavia, rimuovere il commento dall'intero file richiede molto tempo e genererà enormi risultati falsi.

Supponiamo ad esempio che io voglia recuperare solo i file ".jpg", quindi decommenta semplicemente la sezione del file ".jpg" per il file di configurazione del bisturi.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Vai al terminale e digita la seguente sintassi. "/dev/sda1" è la posizione di un dispositivo da cui il file è già stato eliminato.

sudo scalpel /dev/sda1-o output

L'interruttore "-o" indica una directory di output in cui desideri ripristinare i file eliminati. Assicurati che questa directory sia vuota prima di eseguire qualsiasi comando altrimenti ti verrà restituito un errore. L'output del comando precedente è.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Come vedi, il bisturi sta ora eseguendo il suo processo e ci vorrà del tempo per recuperare il file eliminato a seconda dello spazio su disco che stai tentando di scansionare e della velocità della macchina.

Consiglierei a tutti voi di prendere l'abitudine di utilizzare solo Cancella invece di "Maiusc + Canc". Perché come detto prevenire è sempre meglio che curare.