cần khôi phục dữ liệu từ đĩa cứng dữ liệu mà tôi đã sử dụng testdisk trong nỗ lực sửa chữa mbr từ virus rootkit

Trước khi tôi bắt đầu nói tình huống của mình ở đây, xin vui lòng biết rằng tôi sẽ TUYỆT VỜI cho bất cứ ai có thể giúp tôi thoát khỏi mớ hỗn độn này. Tôi có những bức ảnh ở đây sau nhiều năm làm việc cật lực. Tôi là một nhiếp ảnh gia bán chuyên nghiệp và đĩa cứng của tôi chứa khoảng 1,5 TB dữ liệu từ ảnh. Cộng thêm 100GB toàn bộ thư viện nhạc của tôi và tất cả các đĩa DVD của tôi, tôi đã dành thời gian để mách nước vào đĩa cứng của mình. Nhưng ảnh của tôi là điều tôi quan tâm nhất, chúng không thể thay thế được.

Bây giờ ở đây ngắn gọn là những gì đã xảy ra: Tôi luôn có một bản sao lưu dữ liệu của mình bằng backblaze, đó là một bản sao lưu trực tuyến cho các cửa sổ. Tôi đã quyết định khoảng 3 tháng trước tôi muốn một máy chủ sử dụng các tệp của mình bằng plex và quyết định Ubuntu là cách tốt nhất để sử dụng. Vì vậy, tôi đã sử dụng phương pháp sao lưu này bằng cách sử dụng một cái gì đó gọi là "greyhole" và trong quá trình thiết lập (2) ổ cứng 2TB và (1) ổ cứng 1 TB trên chương trình sao lưu màu xám này.

Sau đó, khi tôi có một rootkit. Điều này thật khó chịu và tôi nghĩ sau 2 tháng thử mọi thứ, tôi đã phải phản xạ lại bios của mình và VẪN có virus này. Tôi đã phải định dạng lại tất cả các ổ đĩa cứng của mình và sao lưu mọi thứ lên tới 1 ổ cứng đầy gần như hoàn toàn (ổ cứng 2 TB). Tôi vẫn không thoát khỏi virus này, thật không thể tin được. Cuối cùng tôi đã bắt được nó. Nó được nhúng vào thẻ ethernet mạng của tôi. Bất cứ ai đọc điều này cũng nên chú ý rằng bất cứ thứ gì được nhúng vào đó đều có thể và sẽ lây nhiễm bộ định tuyến của bạn, tất cả mạng LAN của bạn và ở lại trên máy tính của bạn ngay cả thông qua phản xạ của chính bios!

Dù sao sau khi tôi dường như thoát khỏi điều tôi vẫn còn giữ các tập tin của mình trên ổ cứng. Tôi không muốn khôi phục lại máy của mình, vì vậy tôi đã cố gắng viết lại MBR bằng một tiện ích có tên là testdisk.

LỚN

Tôi không biết tôi đang làm gì. Và bây giờ tôi không thể đọc thông tin của mình!

Đây là tin tốt? Sau khi testdisk làm việc đó (bao gồm tôi phân tích ổ đĩa và sử dụng lệnh WRITE để gây sát thương, chỉ mất 1 giây để thực hiện. Có nghĩa là - Tôi đã không thực hiện quá trình 5 giờ để viết 0 trên ổ đĩa có "dd". Đó là một việc nhỏ tôi đã làm. Vì vậy, tôi nghĩ rằng dữ liệu vẫn phải nằm trên ổ đĩa.

Đây là những gì tôi biết:

• ổ đĩa là ổ dữ liệu, không có hệ điều hành. Tôi đã sử dụng Ubuntu như hệ điều hành trên một ổ đĩa khác.
• được định dạng là ext3 hoặc ext4
• kích thước = 2 TB
• tập tin = không thể thay thế, toàn bộ cuộc sống của tôi hoạt động - không có sự tha thứ.

Ngoài ra - backblaze không có tệp của tôi nữa vì đã hơn 30 ngày. Tôi đã viết trên tất cả các bản sao lưu othre của mình bằng 0 do rootkit. Ổ cứng này là và là nguồn duy nhất của các tệp của tôi tại thời điểm điều này xảy ra. Thật trùng hợp, đây là lần duy nhất tôi không có bản sao lưu trong nhiều năm.

Đây là một bản sao / dán của fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Và lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Xin hãy giúp tôi có thể làm gì? Tôi sợ làm hỏng nó một lần nữa với testdisk. Tôi chỉ muốn khôi phục các tập tin. Tôi không thể thấy họ đã biến mất như thế nào.

Cảm ơn bạn rất nhiều-

Để khôi phục dữ liệu từ hình ảnh trên ổ USB ngoài, đây là các bước cần thiết:

1. Ngừng sử dụng ổ đĩa bị hỏng.
2. Chuẩn bị sẵn ổ đĩa ngoài gấp đôi lượng dữ liệu từ kích thước ổ đĩa bị hỏng của bạn. Định dạng với một tệp tin có thể chứa một tệp lớn như vậy sẽ được tạo từ ổ đĩa gốc (ví dụ: ext4)
3. Khởi động Ubuntu từ phiên trực tiếp ( "Thử Ubuntu" ).
4. Gắn ổ đĩa ngoài của bạn bằng Nautilus.
5. Xác nhận điểm gắn của ổ đĩa ngoài của bạn.
   ví dụ với Thuộc tính -> Vị trí trên menu chuột phải.

6. Xác minh vị trí ổ đĩa bị hỏng của bạn với bất kỳ lệnh nào trong một thiết bị đầu cuối

   sudo fdisk -l
   sudo blkid
   

7. Tạo một hình ảnh của ổ đĩa bị hư hỏng của bạn

   sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
   

   Thay thế sdXbằng ổ đĩa bị hỏng của bạn (ví dụ sda) hoặc phân vùng (ví dụ sda1). Thay thế /mountpoint/DRIVENAME/bằng đường dẫn thực tế nơi ổ USB của bạn được gắn.

   _{Chỉ trong trường hợp ổ đĩa bị hỏng ( sdX) của bạn bằng kích thước của ổ đĩa ngoài ( sdY) bạn mới có thể sao chép ổ đĩa ( sudo dd if=/dev/sdX of=/dev/sdY) để thực hiện cứu dữ liệu trên ổ đĩa ngoài được sao chép . Tuy nhiên, làm việc trên một hình ảnh như được hiển thị ở trên là một cách tiếp cận an toàn hơn nhiều.}

   Điều quan trọng là tại thời điểm này để có được ddlệnh chính xác. Nếu bạn đưa sai mục nhập cho of=bạn, bạn có thể làm hỏng tất cả dữ liệu đã tồn tại ở đó.

8. Cài đặt TestDisk trên hệ thống trực tiếp của bạn như được trình bày chi tiết hơn trong câu trả lời của tôi dưới đây:

   • Làm cách nào để khôi phục các phân vùng Windows vô tình bị mất sau khi cài đặt Ubuntu?

9. Đọc hướng dẫn tuyệt vời và súc tích từ các nhà sản xuất TestDisk để khôi phục.

10. Trong trường hợp ổ đĩa của bạn rất lớn, hãy gắn một ổ đĩa / phân vùng khác để giữ dữ liệu được phục hồi. Lưu ý điểm gắn kết này cho testdisk.

11. Chạy testdisk trên hình ảnh ổ đĩa của bạn:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    

12. Lưu các thư mục và tệp đã khôi phục vào ổ đĩa sao lưu / partiton của bạn (cung cấp testdisk điểm gắn kết của ổ đĩa này làm vị trí lưu trữ trong trường hợp nó khác với vị trí của hình ảnh).
13. Xác nhận dữ liệu của bạn ở đó.
14. Ngắt kết nối tất cả các ổ đĩa hoặc tắt phiên trực tiếp.

Trong trường hợp chúng tôi không thành công để khôi phục các tệp của mình, chúng tôi cũng có thể chạy PhotoRec được cài đặt cùng với bộ TestDisk để khôi phục các tệp riêng lẻ (nhưng sau đó tên tệp và các thư mục sẽ bị mất).

Ổ đĩa bị hỏng của bạn vẫn còn nguyên. Chúng tôi thậm chí có thể để ổ đĩa này được phục hồi bởi một dịch vụ chuyên nghiệp trong trường hợp chúng tôi thất bại với các bước trên.

Tôi tin rằng, trong số những thứ khác, testdisk sẽ hoạt động như một công cụ để khôi phục dữ liệu của bạn. Tuy nhiên, trước hết - trước khi bạn làm bất cứ điều gì khác, bạn cần bảo vệ bản sao dữ liệu cuối cùng của mình. Đầu tiên, chỉ gắn kết nó chỉ đọc từ đây về sau. (Bạn có thể giới thiệu nó với tùy chọn ro, xem man mount)

Tôi khuyên bạn nên lấy cho mình một đĩa lớn (> 2TB) và sao chép một hình ảnh hoàn chỉnh của đĩa hiện tại của bạn qua: dd if=/dev/sda of=disk-image.dd trong đó / dev / sda là chỉ đọc của bạn gắn tất cả các đĩa quan trọng và đĩa-image.dd là một tệp trên đĩa mới, đảm bảo có 2TB miễn phí.

testdisk cũng sẽ hoạt động trên một hình ảnh và có thể sắp xếp bảng phân vùng. Quay trở lại với câu hỏi và ý kiến ​​và chúng tôi có thể lấy nó từ đây ...

Một nơi tốt để bắt đầu đọc là ở đây: http://epyxforensics.com/node/36 Khi đi qua nó bắt đầu bằng cách tạo một bản sao dd như tôi đã đề xuất ở trên và tiếp tục làm việc trên bản sao.

Bạn đã có cho mình một máy tính kiểm tra với testdisk, gparted và có thể cài đặt hexedit chưa?

Hãy thử "extundelte" để phục hồi các tập tin của bạn

Hãy thử Recuva của Piriform (nhà sản xuất CCleaner ). Công cụ này là miễn phí. Với v1.51.1063, họ đã thêm hỗ trợ cho các hệ thống tệp ext2 & ext3.

Công cụ sẽ quét một đĩa và cố gắng khôi phục các tệp riêng lẻ đã bị xóa khỏi đĩa. Công cụ này đã lưu dữ liệu quan trọng cho một vài cá nhân mà tôi biết doanh nghiệp của họ phụ thuộc vào dữ liệu của họ (tức là Dữ liệu Quickbooks) sau khi mất tất cả mọi thứ vào một đĩa bị hỏng nặng hoặc đã định dạng đĩa.

Tôi biết rằng Recuva là một công cụ chỉ có trên Windows và Mac, nhưng giờ đây công cụ này có thể được sử dụng trên các định dạng hệ thống tệp Linux điển hình, vì vậy tôi nghĩ rằng thông tin hữu ích ở đây trong trang web Hỏi & Đáp về Ubuntu; đặc biệt là một giải pháp cho câu hỏi (mặc dù, tôi chắc chắn rằng anh ấy / cô ấy đã tìm thấy một giải pháp cho đến bây giờ).