Jak odzyskać usunięte dane z dysku, pendrive’a lub karty pamięci

Przez JulianPoradniki, , , With 19 comments

Z pewnością gdy wpiszecie w Googlach „odzyskiwanie usuniętych danych”, napotkacie się na mnóstwo programów, darmowych lub też nie, które oferują odzyskanie plików (np. usuniętych z kosza). Jasne, można ich użyć. Szczególnie polecam darmową Recuvę.

Ja natomiast pokażę Wam, jak odzyskać dane ze wszelakich dysków zewnętrznych, czyli np. karty pamięci/komórki albo pendrive’a, korzystając z kilku magicznych Linuxowych sztuczek.

Gdy chcecie odzyskać dane z całego dysku PCta, bo przez przypadek został sformatowany, zgłoście się do specjalnego serwisu (w warunkach domowych operacja ta jest nieopłacalna)

Krótka teoria na początek

Każda partycja zawiera pewną tajemniczą listę. W Windowsie nazywa się ona MFT, a w przypadku pendrive’a czy karty pamięci jest to FAT.

Taka lista to spis wszystkich pozostałych plików na danej partycji, a dokładniej (z Wiki):

informacje o rozmiarze, ścieżce dostępu, datach edycji i dacie utworzenia wszystkich plików jakie posiadamy

Dobra, dobra, ale po co nam to? Otóż gdybyśmy zaczęli przeglądać dysk bez zaglądania do MFT/FAT, otrzymalibyśmy wiele bezsensownych danych. Nie wiemy w którym miejscu (fizycznie) ma początek pożądany przez nas plik XYZ, nie znamy jego rozmiaru, więc niemożliwe jest jego odczytanie.

Teraz szybko, otwórzmy MFT/FAT… Voila! XYZ ma rozmiar tyle i tyle, zaczyna się w tym miejscu dysku, kończy w tamtym. Od tej chwili możemy natychmiastowo odczytać jego zawartość. Oczywiście mogłoby to być zdjęcie, list w Wordzie, utwór z albumu AC/DC lub Wasza ulubiona gra komputerowa.

Dlaczego da się przywrócić dane?

Teraz wyobraźcie sobie, że posiadacie na swoim pendrive zdjęcia rodzinne, do których macie wielki sentyment. Przypadkowo zostały usunięte, lub też pendrive został sformatowany. Na szczęście takie metody usuwania wymażą tylko wpisy w File Allocation Table (czy MFT). Pliki dalej są na dysku, lecz za pomocą konwencjonalnych metod nie da się ich odczytać. Na dzień dzisiejszy, prawdziwe pozbycie się danych umożliwia Algorytm Gutmanna, nadpisujący wszystkie pliki 35 razy (o nim na CrackingCookies tutaj), lub mechaniczne zniszczenie dysku.

Odzyskiwanie w praktyce

Potrzebny Ci będzie komputer do którego podepniesz nośnik z utraconymi danymi (zewnętrzny dysk, pendrive, lub karta pamięci włożona do czytnika), oraz system Linux. Polecam użyć BackTracka jako LiveCD – wystarczy ściągnąć obraz ISO, wypalić go na płytę i uruchomić z niej komputer. Jeśli nie wiesz jak to zrobić, zajrzyj do artykułu Jak ściągnąć i odpalić BackTracka.

Krok 1.

Włączamy konsolę, logujemy się jako root, a narzędziem fdisk sprawdzamy dostępne partycje.

root@bt:~# fdisk -l | grep /dev/sd
Disk /dev/sda: 250GB
/dev/sda1 (...)
/dev/sda2 (...)
(...)
Disk /dev/sdc: 16.0 GB
/dev/sdc1 (...)

OK. Widzimy że mamy jeden dysk twardy pod nazwą /dev/sda o pojemności 250GB i partycjacjach /dev/sda1, /dev/sda2 itd.

Mamy również drugi dysk, /dev/sdc, o pojemności 16 GB, z jedną partycją /dev/sdc1. To nasz pendrive. Podobnie wyświetliłaby się karta pamięci, lub dysk zewnętrzny.

Krok 2.

Potrzebujemy wykonać obraz naszego pendrive, czyli dokładną kopię całego nośnika w jednym pliku. Lepiej pracować na owej kopii, niż na „żywym” pacjencie. Wykorzystamy narzędzie dd.
Uwaga, ta operacja może chwilę potrwać w zależności od rozmiaru zewnętrznego nośnika.

root@bt:~# dd if=/dev/sdc1 of=image
15564800+0 records in
15564800+0 records out
16013856672 bytes (16.01 GB) copied, 1042.424s, 15.1 MB/s

Stworzyliśmy plik „image” będący obrazem jedynej partycji na naszym pendrive, czyli /dev/sdc1.

Krok 3.

Teraz za pomocą magicznego narzędzia foremost odzyskamy dane z pliku „image”:

root@bt:~# foremost -i image -o pliki > temp
Processing: obraz
|*****************************|

Udało się, gwiazdki oznaczały postęp odzyskiwania danych. W nowo utworzonym katalogu „pliki” znajdziecie takie foldery jak „jpg” z odzyskanymi zdjęciami, „mp3″ z muzyką itd.

Nie zawsze uda się odzyskać wszystkie dane. Im mniej używany był dysk po ich utracie, tym więcej zostanie wam zwrócone.

Otrzymane pliki możecie teraz skopiować ponownie na pendrive, lub zrobić z nimi co chcecie.

Powodzenia!