muszę odzyskać dane z dysku twardego z danymi, na którym użyłem dysku testowego, próbując naprawić mbr z wirusa rootkit

Zanim zacznę mówić, jaka jest moja sytuacja tutaj, proszę wiedzieć, że byłbym WIECZNIE WDZIĘCZNY dla każdego, kto może mi pomóc z tym bałaganem. Mam tu zdjęcia z lat żmudnej pracy. Jestem półprofesjonalnym fotografem, a mój dysk twardy zawiera około 1,5 TB danych ze zdjęć. Plus 100 GB całej mojej biblioteki muzycznej i wszystkich moich płyt DVD. Dedykowałem czas na mój dysk twardy. Ale najbardziej niepokoją mnie moje zdjęcia, których nie można wymienić.

Krótko mówiąc, co się stało: zawsze miałem kopię zapasową moich danych za pomocą backblaze, która jest kopią zapasową online dla systemu Windows. Około 3 miesiące temu zdecydowałem, że chcę uruchomić serwer dla moich plików za pomocą plex i zdecydowałem, że Ubuntu to najlepsza droga. Wykorzystałem więc tę metodę tworzenia kopii zapasowych, używając czegoś o nazwie „greyhole” i podczas konfigurowania (2) dysków twardych 2 TB i (1) dysku twardego 1 TB w tym programie do tworzenia kopii zapasowych greyhole.

Wtedy właśnie dostałem rootkita. Ta sprawa była paskudna i myślę, że po 2 miesiącach próbowania wszystkiego musiałem zmienić swoje biografie, a STILL miał tego wirusa. Musiałem sformatować wszystkie dyski twarde i wykonać kopię zapasową wszystkiego na 1 dysku twardym, wypełniając go prawie całkowicie (dysk twardy 2 TB). Nadal nie pozbyłem się tego wirusa, był niesamowity. W końcu to złapałem. Został osadzony w mojej sieciowej karcie Ethernet. Każdy, kto to czyta, powinien wziąć pod uwagę, że wszystko, co jest w nim osadzone, może zainfekować router, całą sieć LAN i pozostać na komputerze nawet po ponownym flashowaniu samego BIOS-u!

W każdym razie po tym, jak pozbyłem się rzeczy, które wciąż miałem na dysku. Nie chciałem ponownie zainfekować moich komputerów, więc próbowałem ponownie napisać MBR za pomocą narzędzia o nazwie testdisk.

DUŻY BŁĄD

Nie miałem pojęcia, co robię. A teraz nie mogę odczytać moich informacji!

Oto dobra wiadomość? Po tym, jak testdisk to zrobił (co polegało na tym, że przeanalizowałem dysk i użyłem polecenia ZAPISZ, aby wyrządzić szkodę, zajęło to tylko 1 sekundę. To znaczy - nie usiadłem przez 5 godzin na pisaniu zer) na dysku z „dd”. Szybko to zrobiłem. Z tego powodu uważam, że dane wciąż muszą znajdować się na dysku.

Oto co wiem:

• dysk jest dyskiem danych, bez systemu operacyjnego. Użyłem Ubuntu jako systemu operacyjnego na innym dysku.
• sformatowany jako ext3 lub ext4
• rozmiar = 2 TB
• pliki = niezastąpione, całe moje życie działa - bez przesady.

Ponadto - backblaze nie ma już moich plików, ponieważ minęło ponad 30 dni. Napisałem ponad wszystkimi innymi kopiami zapasowymi z zerami z powodu rootkita. Ten dysk twardy był i jest jedynym źródłem moich plików w momencie, kiedy to się stało. Przypadkowo to jedyny raz, kiedy nie mam kopii zapasowej od wielu lat.

Oto kopia / wklej fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

I lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Proszę o pomoc, co mogę zrobić? Boję się, że zepsuję to jeszcze raz za pomocą dysku testowego. Chcę tylko odzyskać pliki. Nie widzę, jak zniknęły.

Dziękuję bardzo-

Aby odzyskać dane z obrazu na zewnętrznym dysku USB, należy wykonać następujące czynności:

1. Przestań używać uszkodzonego dysku.
2. Przygotuj zewnętrzny dysk (dyski), który pomieści dwa razy więcej danych niż rozmiar uszkodzonego dysku. Sformatuj za pomocą systemu plików, który może pomieścić tak duży plik, jaki zostanie utworzony z oryginalnego dysku (np. Ext4)
3. Uruchom Ubuntu z sesji na żywo ( „Wypróbuj Ubuntu” ).
4. Zamontuj dysk zewnętrzny za pomocą Nautilus.
5. Sprawdź punkt podłączenia dysku zewnętrznego.
   np. z Właściwości -> Lokalizacja w menu po kliknięciu prawym przyciskiem myszy.

6. Sprawdź lokalizację uszkodzonego dysku za pomocą dowolnego z tych poleceń w terminalu

   sudo fdisk -l
   sudo blkid
   

7. Utwórz obraz uszkodzonego dysku

   sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
   

   Wymień sdXna uszkodzony dysk (np. sda) Lub partycję (np sda1.). Zamień /mountpoint/DRIVENAME/na rzeczywistą ścieżkę, w której zamontowano dysk USB.

   _{Tylko w przypadku, gdy uszkodzony dysk ( sdX) jest równy rozmiarowi dysku zewnętrznego ( sdY), możesz sklonować dysk ( sudo dd if=/dev/sdX of=/dev/sdY) w celu odzyskania danych na sklonowanym dysku zewnętrznym. Mimo to praca nad obrazem, jak pokazano powyżej, jest znacznie bezpieczniejszym podejściem.}

   W tym momencie bardzo ważne jest ddprawidłowe uzyskanie polecenia. Jeśli podałeś nieprawidłowy wpis of=, możesz uszkodzić wszystkie dane, które tam istniały.

8. Zainstaluj TestDisk w systemie na żywo, co zostało dalej rozwinięte w mojej odpowiedzi poniżej:

   • Jak odzyskać przypadkowo utracone partycje Windows po zainstalowaniu Ubuntu?

9. Przeczytaj niesamowity i zwięzły przewodnik od twórców TestDisk, aby odzyskać.

10. Jeśli Twój dysk jest ogromny, zamontuj inny dysk / partycję, aby pomieścić odzyskane dane. Zanotuj ten punkt montowania dla dysku testowego.

11. Uruchom testdisk na obrazie dysku:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    

12. Zapisz odzyskane katalogi i pliki na dysku / partycji kopii zapasowej (podaj testdisk punkt montowania tego dysku jako miejsce przechowywania, na wypadek, gdyby był inny niż obraz).
13. Sprawdź, czy Twoje dane tam są.
14. Odmontuj wszystkie dyski lub zamknij sesję na żywo.

W przypadku, gdy nie udało nam się odzyskać naszych plików, możemy również uruchomić PhotoRec, który został zainstalowany razem z pakietem TestDisk, aby odzyskać pojedyncze pliki (ale potem uprawnienia do nazw plików i katalogi zostaną utracone).

Twój uszkodzony dysk nadal pozostaje nietknięty. Możemy nawet pozwolić na odzyskanie tego dysku przez profesjonalną usługę na wypadek, gdybyśmy nie wykonali powyższych czynności.

Uważam, że między innymi testdisk powinien działać jako narzędzie do odzyskiwania danych. Przede wszystkim jednak - zanim zrobisz cokolwiek innego, musisz chronić swoją ostatnią kopię danych. Po pierwsze, montuj go tylko do odczytu odtąd. (Możesz zamontować go ponownie za pomocą opcji ro, patrz man mount)

Sugeruję zdobycie dużego (> 2 TB) dysku i skopiowanie pełnego obrazu bieżącego dysku na: dd if=/dev/sda of=disk-image.ddgdzie / dev / sda jest zamontowanym tylko do odczytu wszystkim ważnym dyskiem, a disk-image.dd to plik na nowym dysku, upewnij się, że są wolne 2 TB.

testdisk będzie również działał na obrazie i powinien być w stanie posortować tablicę partycji. Wracaj z pytaniami i komentarzami, a my możemy je wziąć stąd ...

Dobrym miejscem do rozpoczęcia czytania jest tutaj: http://epyxforensics.com/node/36 W tym przewodniku zaczyna się od zrobienia kopii dd, jak zasugerowałem powyżej, i kontynuuje pracę nad kopią.

Czy masz już komputer egzaminacyjny z testdisk, gparted i być może hexedit?

Daj „extundelte” spróbować odzyskać pliki

Wypróbuj Recuva autorstwa Piriform (twórca CCleaner ). Narzędzie jest bezpłatne. W wersji 1.51.1063 dodali obsługę systemów plików ext2 i ext3.

Narzędzie skanuje dysk i próbuje odzyskać pojedyncze pliki, które zostały usunięte z dysku. To narzędzie zapisało krytyczne dane dla kilku osób, które znam, których działalność zależała od ich danych (tj. Dane Quickbooks) po tym, jak straciłem wszystko na mocno uszkodzony dysk lub sformatowałem go.

Wiem, że Recuva jest narzędziem dostępnym tylko w systemach Windows i Mac, ale można go teraz używać w typowych formatach systemu plików Linux, więc pomyślałem, że informacje przydatne tutaj na stronie pytań i odpowiedzi Ubuntu; szczególnie jako rozwiązanie pytania (chociaż jestem pewien, że już znalazł rozwiązanie).