Como recuperar arquivos deletados?

121

Existem ferramentas, métodos, encantamentos para recuperar arquivos excluídos recentemente no Ubuntu?

Se fizer alguma diferença, desejo recuperar um arquivo de banco de dados do Keepass 2.x. Mas seria melhor ter um método / ferramenta que funcione em qualquer tipo de arquivo.

data-recovery Decio Lira
fonte
Relacionado, mas não realmente duplicado: Os arquivos / diretórios excluídos do terminal podem ser restaurados?
Seth

Respostas:

66

Às vezes, o TestDisk pode recuperar arquivos excluídos recentemente.

vh1
fonte
4
Pode ser importante para alguém saber que é específico para cartões de câmera, no TestDisk PhotoRec
Luis Siquot 7/15/15
1
No momento, o TestDisk não possui uma interface gráfica com o usuário e as páginas de ajuda (manual) não são informativas suficientes para mim.
silviubogan
4
O PhotoRec ( cgsecurity.org/wiki/PhotoRec ) funcionou muito bem para eu recuperar arquivos excluídos acidentalmente (no Ubuntu 14.04 com ext4). Eu tentei pela primeira vez com o TestDisk, mas não foi possível recuperá-los. Enfim, encontrei as duas ferramentas criadas na mesma pasta.
Andrea
1
@silviubogan, na verdade, o TestDisk possui uma interface de usuário textual bastante boa, com menus e explicações ao longo do caminho. Todas as ações têm uma chave associada para executá-las e elas são claramente escritas em todas as telas para facilitar o acesso.
Andrea Lazzarotto
25

Eu usei acima de tudo para recuperar o disco rígido danificado em NTFS (windows), FAT32 (cartão Flash de um telefone Nokia) e ext3 com ótimos resultados. Somente linha de comando, mas é fácil, algo como isto:

sudo foremost -i /dev/sda -o <dir where recovered files will be stored>

Ele ordenará os arquivos recuperados nas pastas por tipo de arquivo. Os documentos do Openoffice são recuperados como arquivos zip. Como você precisa executá-lo como root (para acessar diretamente o hardware), os arquivos de saída também são de propriedade do root; portanto, você provavelmente precisará alterar a propriedade deles posteriormente.

Javier Rivera
fonte
Esta é provavelmente uma pergunta muito antiga, mas como os arquivos do GIMP se parecem após a recuperação?
despertar
Não sei, nunca tentei recuperá-los.
Javier Rivera #
@JavierRivera - Eu não acredito que foremostpossa recuperar .xcfarquivos. Consulte a página do manual, que pode lidar apenas com esses tipos de arquivo: (jpg, gif, png, bmp, avi, exe, mpg, mp4, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, e cpp).
Slm 31/03
já está em execução ... deixe-me esperar pelos resultados. Vai compartilhar.
Patrick Mutwiri
Quanto tempo leva para terminar? para uma memória USB 32GB
Mina Michael
25

extundelete é realmente ótimo se o seu sistema de arquivos for ext3 ou ext4.

Nota : extundelete exige que você desmonte sua unidade para funcionar corretamente (é uma boa idéia fazer o mais rápido possível), para evitar a possibilidade de sobrescrever os bytes esperançosamente recuperáveis ​​nos arquivos excluídos.

Desmontar a unidade em um sistema ativo pode ser complicado ... muitas vezes você recebe a device is busymensagem ' '. Para limpar isso 'corretamente', é necessário desligar todos os processos que acessam o sistema de arquivos. Mas ... você provavelmente estava trabalhando em seu diretório pessoal, e um zilhão de processos estão ligados ao seu diretório pessoal, então boa sorte com isso.

O truque para contornar isso é fazer uma desmontagem 'preguiçosa':

$ mount
/dev/sda7 on /home type ext4 (rw)
$ sudo umount -l /home

Onde:

  • esse exemplo é para eu preparar minha /homemontagem para uso com extundelete. Obviamente, você precisa substituir /homepelo seu interesse
  • Fiz o mountcomando primeiro para descobrir qual dispositivo ( /dev/sda7) preciso passar para extundelete (a saída é truncada por questões de brevidade)
  • que é um L minúsculo na -lopção
Russ
fonte
4
Uma desmontagem lenta realmente não ajuda, pois o fs permanece montado até que todos os arquivos nele sejam fechados. Você só precisa desligar o sistema assim que excluir os arquivos e executar o extundelete a partir de um livecd.
Psusi 07/07/11
@psusi - É absolutamente falso dizer que isso não ajuda! umount -limpede que novos arquivos sejam abertos / criados e gravados (caches da web e outros). No entanto, isso não impede que os arquivos abertos existentes sejam gravados (ou seja, não fecha os arquivos existentes). Você sugere desligar, mas acho que uma desmontagem lenta (na maioria das vezes) resultará em menos arquivos gravados, dependendo da partição em questão. Nessa nota, o melhor é ter o extundelete já instalado e, se não estiver, certifique-se de instalá-lo em alguma partição diferente daquela que você está tentando recuperar!
Russ
Enquanto o FS ainda estiver montado, a tentativa de acessá-lo resultará em corrupção. Essa é a razão pela qual extundelete exige que você desmonte o fs em primeiro lugar. A desmontagem preguiçosa simplesmente engana-a, pensando que não está montada e, portanto, é seguro prosseguir com a manipulação do disco, quando isso não é verdade. Prosseguir com extundelete antes que o fs seja realmente desmontado pode mangueira o disco inteiro.
Psusi
1
@psusi - "pode ​​mangueira o disco inteiro" ??! Com uma operação somente leitura? Não entendo sua argumentação, ou o que a deixa tão paranóica. extundelete não "manipula o disco". A pior coisa possível que posso imaginar acontecendo é que o extundelete espera uma partição desmontada / estática e se, ao ler as informações do diário, o disco preguiçosamente desmontado for alterado devido a processos que tinham arquivos abertos, o extundelete pode ficar confuso e a recuperação pode falhar. "possivelmente falhou na recuperação"! = "disco hosed". Se falhar, desligue, reze para que o desligamento não destrua os dados perdidos e use um livecd como você sugere.
Russ
1
Deus abençoe este programa! E você @Russ. Recuperou todos os meus arquivos!
Vladimir Kovalchuk
14

Se você excluiu algum arquivo por acidente, mas ainda conhece algumas strings que foram escritas nesse arquivo, você pode usar:

grep -a -B 25 -A 100 'containing string' /dev/sda1 > result.txt

fonte
1
e se o arquivo for binário e não texto?
Decio Lira
Supondo que fosse texto, como ele pode recuperar o arquivo com o arquivo result.txt? Eu não estou recebendo-lo ..
sergio91pt
Eu tentei várias outras respostas anteriores. Nenhum deles funcionou. Este truque simples fez! Obrigado!
JamesThomasMoon1979
É realmente muito bom, coisas incríveis. Muito obrigado.
Snehal Parmar
2
Deve-se notar que 25e 100são apenas alguns números mágicos que provavelmente precisam ser aprimorados para o caso específico.
Andrea Lazzarotto
12

Para recuperar o diretório, você pode usar extundelete

  1. Instalar extundelete

    sudo apt-get install extundelete

  2. Comando para recuperar

    sudo extundelete --restore-directory /home/Documents/ /dev/sda1

Nota : Em vez de dev/sda1colocar o nome da partição do disco rígido.

/home/Documents/ é o seu caminho para a exclusão direta.

Aatish Sai
fonte
1
Eu costumava autopsyencontrar os inodes necessários e depois extundeleterestaurá-los. Funcionou bem!
Raphael
Meus resultados parecem.....~/Books$ sudo extundelete --restore-directory /home/newubuntu/Books/LaTeX /dev/sda2 WARNING: Extended attributes are not restored. Loading filesystem metadata ... 522 groups loaded. Loading journal descriptors ... 32242 descriptors loaded. Writing output to directory RECOVERED_FILES/ Failed to restore file /home/newubuntu/Books/LaTeX Could not find correct inode number past inode 2621441.
alhelal 3/17
Eu quero enviar confirmação no comando. Quão?
Alhelal
sudo extundelete -y --restore-directory /home/Documents/ /dev/sda1 como isso.
Alhelal
10

O R-Linux (Recovery studio) é um dos melhores. Eu usei essa ferramenta muitas vezes antes. Eu trabalhei em uma empresa onde eles usaram a versão comercial, 9/10 vezes recuperam tudo o que você deseja. Aplicação verdadeiramente excelente. Mina salva e amigos atrás muitas vezes antes.

O R-Linux é um utilitário gratuito de recuperação de arquivos para o sistema de arquivos Ext2 / Ext3 / Ext4 FS usado no sistema operacional Linux e em vários Unixes. O R-Linux usa a mesma tecnologia InteligentScan que o R-Studio e configurações flexíveis de parâmetros para fornecer a recuperação de arquivos mais rápida e confiável para a plataforma Linux. No entanto, ao contrário do R-Studio, o R-Linux não pode recuperar dados pela rede, reconstruir RAIDs ou fornecer cópia de objeto.

Recursos (do site):

Arquivos de recuperação do R-Linux :

  • Removido por ataque de vírus, falha de energia ou falha no sistema;
  • Após a partição com os arquivos ter sido formatada, danificada ou excluída;
  • Quando a estrutura da partição em um disco foi alterada ou danificada. Nesse caso, o R-Linux pode verificar o disco tentando encontrar partições existentes anteriormente e restaurar arquivos das partições encontradas.
  • De discos com setores defeituosos. Nesse caso, o R-Linux pode primeiro copiar o disco inteiro ou sua parte em um arquivo de imagem e depois processar o arquivo de imagem. Isso é especialmente útil quando novos setores defeituosos aparecem constantemente no disco e as informações restantes devem ser salvas imediatamente.

Recursos avançados do R-Linux :

  • Interface padrão do estilo "Windows Explorer".
  • SO host:
    • Variante Linux: Linux, kernel 2.6 e superior
    • Variante do Windows: Win2000, XP, 2003, Vista, Windows 7, Windows 8
  • Sistemas de arquivos suportados: somente Ext2 / Ext3 / Ext4 FS (Linux).

  • Reconhecimento e análise de esquema de layout de partições Dinâmico (Windows 2000 / XP / Vista / Win7), Básico, GPT e BSD (UNIX) e mapa de partição Apple . Partições dinâmicas sobre GPT são suportadas, bem como partições dinâmicas sobre MBR.

  • Cria arquivos de imagem para um disco rígido inteiro, disco lógico ou parte dele. Esses arquivos de imagem podem ser processados ​​como discos regulares. As imagens podem ser cópias simples de objetos exatos (imagens simples) compatíveis com as versões antigas do R-Linux ou imagens compactadas que podem ser compactadas, divididas em várias partes e protegidas por senha. Essas imagens são totalmente compatíveis com as imagens criadas pelo R-Drive Image, mas incompatíveis com as versões antigas do R-Linux.

  • Reconhece nomes localizados.

  • Os arquivos recuperados podem ser salvos em qualquer disco (incluindo a rede) acessível pelo sistema operacional host.
blade19899
fonte
Eu não esperava que isso fosse gratuito para Linux. Eu já conheço o R-Studio e é um software fabuloso. É ótimo que seja gratuito para sistemas de arquivos Linux.
0x01
1
Esta ferramenta só é gratuito para recuperar arquivos menos de 256kb
Tik0
6

Se estiver usando HD interno secundário (suspeito o mesmo para HD externo) para importação de arquivos recuperados (do HD principal, onde os arquivos estavam originalmente), é necessário criar um diretório no qual os arquivos serão colocados no HD secundário. Para fazer isso, você precisa primeiro ter a configuração do BIOS para inicializar a partir do CD! 1. Inicie o CD Live Ubuntu Rescue-Remix, dê o comando para inicializar e, quando ele inicializar no terminal, verifique seus HDs por comando - Código:sudo fdisk -l

Perceba qual HD é principal e qual é secundário, e qual partição verificar os arquivos e para recuperá-los - linux ext3 ou Windows NTFS! O meu era Linux. Tenha espaço suficiente nele! (Então você pode tentar executar o Photorec ("sudo photorec") e, com sorte, conseguir ver todos os seus HDs. Não tive a mesma sorte, então tive que criar um diretório e montar o segundo HD.)

  1. Crie primeiro o diretório dos arquivos recuperados, por exemplo - mídia / disco. Give command - Código:sudo mkdir /media/disk

Se estiver certo, o prompt do terminal simplesmente retorna.

  1. É necessário montar o HD secundário, ou ficará invisível, mesmo que “sudo fdisk -l” o mostre. Dê o comando para o seu HD secundário - Código:sudo mount -t ext3 /dev/sdb2 /media/disk

Se estiver certo, o prompt do terminal simplesmente retorna.

  1. Execute Photorec por comando - Código:

    sudo photorec

Vá pelas configurações e escolha apenas os tipos de arquivo que deseja, caso contrário, você terá milhares de arquivos para filtrar!

Para mais detalhes, visite: http: /www..ubuntumanual.org/posts/357/recover-your-deleted-files-in-ubuntu

Abhilash
fonte
5

Experimente o bisturi

sudo apt-get install scalpel

para mais informações

bisturi homem

Rojan
fonte
tentando agora. Não entendo muito bem como adicionar novos arquivos ao arquivo conf. Você tem alguma fonte com detalhes?
Decio Lira
2
Encontrei howtoforge.com/recover-deleted-files-with-scalpel que é melhor que nada. Boa sorte, isso não é MS-DOS.
quer
veja também ubuntu.stackexchange.com/questions/2596/… Eu uso um backup relativamente pesado do sistema, mas o "Back in Time" configurou para duplicar diretórios selecionados de / home / msw (incluindo .config, que também captura .config/keepassx/*(seus locais podem variar)) para uma partição sobressalente todas as noites. Eu também uso o Unix desde sempre e você geralmente toma bastante cuidado depois da segunda vez que se afasta the-really-critical.file;)
msw
O bisturi parece estar fazendo o mesmo que o anterior, mas enquanto o bisturi não é mais desenvolvido há 10 anos, o primeiro recebeu muitas atualizações nos últimos anos.
sebix
3

A autópsia e asferramentas Sleuthkit são ótimas para recuperar arquivos excluídos, com uma interface de usuário amigável e também estão disponíveis nos repositórios :

sudo apt install autopsy
nathwill
fonte
bom saber. vai dar uma olhada neles. ;)
Decio Lira
1
Eu o recomendaria se você tivesse adicionado alguns links.
madmike
Eu costumava autopsyencontrar os inodes necessários e depois extundeleterestaurá-los. Funcionou bem!
Raphael
2

Instalar bisturi

sudo apt-get install scalpel

Edite o arquivo scalpel.conf e remova o comentário dos tipos de arquivo que deseja recuperar. Crie uma pasta vazia (por exemplo: recovered_data) Encontre a partição em que seus dados foram. Você pode usar lsblk para obter o mapa da partição.

sudo lsblk

Executar bisturi (suponha que os dados estavam no sda1)

sudo scalpel -o recovered_data/ /dev/sda1
Kasun
fonte
1

Recentemente, usei o ext3grep para recuperar um arquivo SQLite 3 grande que foi excluído de um sistema de arquivos ext3.

Eu tinha tentado muitas outras ferramentas de exclusão, todas que não conseguiam recuperar o arquivo (a partir de uma imagem dd do disco).

Para usar o ext3grep, eu precisava baixar e compilar a fonte. Leia com atenção http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html de cima para baixo para entender como o sistema de arquivos ext3 funciona e como usar o diário para descobrir onde os arquivos excluídos estão no diretório disco também foi necessário.

Esta não é uma solução simples, mas muito, muito poderosa. Se você estiver preparado para investir algumas horas para estudar o documento e compilar o programa, vale a pena.

Stacey Richards
fonte
Obrigado, talvez eu tente isso. isso funcionará apenas com sistemas de arquivos ext3? E o ext4?
Decio Lira
Não tenho certeza sobre o ext4, mas acho que o ext4 é compatível com o ext3. Eu diria que funcionaria, mas nunca tentei.
Stacey Richards