Obnova dát
1.1 Informácie k cvičeniu
Cvičenie má predpripravený virtuálný stroj Ubuntu, ktorý si študent spustí cez VMware.
- Ubuntu – verzia 22.04.2 64bit, user:tuke, password secret, viac info. -> úvodné cvičenie
- Predpripravený mountnutý 100MB EXT4 disk /media/tuke/disk-A v ubutnu VM.
- Predpripravený mountnutý 100MB NTFS disk /media/tuke/disk-B v ubutnu VM.
- Oba disky budú mať zopár súborov v sebe, ktoré študent zmaže.
- TestDisk 7.1, ktorý si študent nainštaluje počas cvičenia v ubuntu VM.
- PhotoRec 7.1, ktorý je nainštalovaný v balíčku TestDisk.
1.2 Motivácia
Na tomto cvičení sa študent naučí na akom princípe funguje obnova náhodne alebo zámerne odstránených súborov. Spozná pár známych nástrojov na obnovu dát. Na záver si osvojí prácu s nástrojom TestDisk a PhotoRec, kde hlavným cieľom bude obnoviť odstránené dáta z NTFS a EXT4 súborových systémov.
1.3 Ciele cvičenia
- Pochopiť na akom princípe funguje obnova zmazaných dát
- Spoznať nástroje, ktoré dokážu obnoviť dáta
- Osvojiť si nástroj TestDisk a Photorec na praktickom príklade undelete
1.4 Strata dát
Určite sa vám stalo, že ste omylom vymazali nejaký súbor. V operačnom systéme Windows, ste si tento súbor mohli jednoducho vytiahnuť z koša. Lenže čo urobíte v prípade mylného použitia príkazu rm (remove) v OS linux ? Existujú rôzne spôsoby ako stratiť dáta, preto si zopár z nich vymenujeme:
- poškodenie operačného systému
- poškodenie súborového systému
- poškodenie fyzického hardvéru
- úmyselné vymazanie dát nejakým útokom
- strata hardvéru
Poznámka: „Zvyčajne nie je možné vrátiť príkaz rm po jeho vykonaní, pretože súbor alebo adresár sa natrvalo odstráni.“
Je pravdou, že nie všetky dáta je možné obnoviť, kvôli dôvodom ako je napríklad:
- prepísanie miesta na disku na ktorom sa pôvodne nachádzal odstránený súbor,
- nemožnosť získať dáta z bloku kvôli poškodenému hardvéru,
- pomocou použitia softvéru na bezpečné odstránenie z disku, ktoré je nemožné obnoviť.
Zaujímavosť: Profesionáli na obnovu dát sú schopní obnoviť stratené dáta z poškodených diskov ich rozobratím. Rozoberanie vykonávajú v sterilnom prostredí, so sterilnými a antistatickými nástrojmi. Len jedna malá častica prachu by mohla spôsobiť poškodenie dát.
Poznámka: Aby ste predišli strate dát, najlepšiou prevenciou si je dáta pravidelne zálohovať.
1.5 Obnova dát
V prvom rade si pred obnovou dát treba zistiť, čo zapríčinilo stratu dát. V prípade náhodného alebo úmysleného odstránenia dát je dôležité prestať používať disk na ktorom sa tieto dáta nachádzali. Po vymazaní dát z disku sú informácie stále zachované na hardvéri.
Zaujímavosť: Len používanie internetového prehliadača môže spôsobiť, že uloží „nacachované“ dáta priamo na miesto kde sa pred tým nachádzal súbor, ktorý chcete obnoviť.
Aby sme sa k týmto informáciam dostali potrebujeme nástroj na obnovu dát, ktorý nainštalujeme na inom disku a pokúsime sa obnoviť dáta z partície na ktorej sme dáta pôvodne mali. V prípade obnovy bootovacieho disku, na ktorom je poškodený operačný systém je obnova dát možná na inom zariadení.
Poznámka: Aj keď vo všeobecnosti je možné obnoviť dáta na tom istom disku, neodporúča sa to, kvôli možnému prepísaniu dát.
Nástroje na obnovu dát
Medzi najznámejšie nástroje na obnovu dát patria:
- Disk Drill
- Recuva
- PhotoRec
- TestDisk
- Data Rescue
- DiskGenius
- R-Studio
- a iné…
Pre podrobnejšie informácie a zobrazenie výhod a nevýhod jednotlivých nástrojov si prečitajte tento článok.
1.6 TestDisk
Na tomto cvičení sa budeme zaoberať nástrojom TestDisk. TestDisk je výkonný a spoľahlivý nástroj na obnovu dát. Na interakciu s nástrojom sa používa príkazovy riadok. Je napísaný v programovacom jazyku C a jeho autorom je Christopher Granier. Hlavným dôvodom voľby tohto nástroja je to, že je zadarmo a je multi-platformový.
Základné funkcie TestDisku sú:
- Obnova vymazanej alebo poškodenej partície
- Obnova súborových systémov
- Obnova súborov
- Záloha disku alebo partície
- Oprava bootovacieho sektoru
1.7 Obnova súboru – praktický príklad
V tejto úlohe si nainštalujete a osvojíte nástroj TestDisk a Photorec. Vo vašom virtuálnom stroji Ubuntu sa nachádzajú 2 disky:
- 100MB EXT4 disk /home/tuke/disk-A.
- 100MB NTFS disk /home/tuke/disk-B.
V oboch filesystémoch sa nachádzajú rôzne dáta. Možete si ich preskúmať, nachádzajú sa tam aj obrázky, ktoré si môžete pozrieť cez GUI. Odstráňte obsah týchto adresárov.
$ rm -rf /home/tuke/disk-A/* $ rm -rf /home/tuke/disk-B/*
Poznámka: dáta, ktoré budete vymazávať z diskov, sú uložené ako záloha v /home/tuke/Tmp
Následne po odstránení sa pokusíme obsah týchto adresárov obnoviť.
1.7.1 Inštalácia nástrojov TestDisk a PhotoRec
Stiahnite si TestDisk:
$ sudo apt update $ sudo apt -y install testdisk
Pozrite si aké partície máte vo vašom systéme:
$ df -Th
alebo
$ lsblk
Zaujímavosť: Určite ste si všimli vo výpise lsblk veľa loop partícií. Loop particia je v podstate súbor v Linux systéme, ktorý sa správa ako blokové zariadenie. Používa sa na mountovanie „disk image“ podobných ako Snap. /dev/loop je „read-only“ a pri vytvorení je jeho veľkosť fixná a nemenná. Zdôrazníme, že hlavnou výhodou takého to prístupu je izolované prostredie pre aplikáciu.
Poznámka: všimnite si, že „root“ adresár sa nachádza v partícií /dev/sda3
Pozrite si typ partície vaších diskov :
$ sudo parted –-list
Oba disky (/dev/sdb a /dev/sdc) majú typ tabuľky partícií gpt.
Poznámka: nástroj TestDisk dokáže “undeletnuť” len dáta, ktoré sú úložené v súborových systémoch: NTFS, FAT12, FAT16, FAT32 a EXT2. Preto pre obnovu dát z EXT4 použijeme PhotoRec.
Poznámka: GPT alebo GUID Partition Table je schéma rozdelenia disku, ktorá sa používa na definovanie štruktúry oddielov na pevnom disku alebo iných úložných zariadeniach, ako sú SSD. Je to moderná a pokročilá metóda. Používa jedinečné identifikátory, ktoré sú pridelené každej partícii. Staršie zariadenia využívali MBR (master boot record).
1.7.2 Príprava adresárov, do ktorých uložíme zálohované dáta
V tejto sekcii si vytvoríte adresáre, do ktorých uložíte obnovené dáta.
Vytvorte si adresár zalohaEXT4 v /home/tuke/Documents:
$ mkdir /home/tuke/Documents/zalohaEXT4
Vytvorte si adresár zalohaNTFS v /home/tuke/Documents:
$ mkdir /home/tuke/Documents/zalohaNTFS
1.7.3 Obnova disku so súborovým systémom NTFS
V tejto časti sa pokusíme obnoviť obsah disku disk-B. Práca s nástrojom TestDisk je intuitívna.
Pre spustenie nástroja TestDisk napíšte príkaz:
$ sudo testdisk
Ak chcete zvolte Create, aby sa vam logovali informácie získané pomocou tohto nástroja.
Zvoľte z akého disku budete robiť obnovu dát. V našom prípade to bude /dev/sdc.
Pomocou predošlého príkazu sme si zistili typ partície, všiminte si, že TestDisk zvolil EFI GPT automaticky za vás. Ak si ste istí, že zdetekovaný typ je zlý , tak zvoľte si vhodný.
Možnosť “undeletnuť” vymazané dáta z disku sa nachádza v Advanced nástrojoch.
Zvoľte partíciu, ktorú chcete obnoviť a zvoľte možnosť undelete.
Prehľadavajte disk a označte si súbory, ktoré chcete obnoviť.
Stlačte ‘a’ vyberte všetky súbory a veľké ‘C’ pre ich následne kopírovanie do iného súboru.
Následne inutitívnym spôsobom sa dostante na cestu /home/tuke/Documents/zalohaNTFS
Stlačte ‘C’ pre uloženie. Následne ukončite program. Všimnite si, že vlastníctvo týchto súborov je nastavené pre root usera. Preto ho zmeňte na tuke usera:
$ ls -l /home/tuke/Documents/zalohaNTFS $ sudo chown -R tuke /home/tuke/Documents/zalohaNTFS/*
Overte si dáta cez prieskumníka:
1.7.4 Obnova disku so súborovým systémom EXT4
V tejto časti sa pokusíme obnoviť obsah disku disk-A.
Pre spustenie nástroja PhotoRec napíšte príkaz:
$ sudo photorec
PhotoRec funguje na podobnom princípe ako TestDisk. Zvoľte disk, ktorý chcete obnoviť. Tentokrát to bude /dev/sdb.
V options si vypnite image check, a taktiež povoľte ukladať “corrupted” súbory. Dôvod prečo to robíme je to, že chceme aby PhotoRec zbieral aj textové súbory, ktorým môže chýbať end of file. Majte to nastavené tak ako na obrázku nižšie.
Vráťte sa naspäť a následne zvoľte partíciu alebo celý disk na obnovu.
Ako filesystem zvoľte možnosť ext2/ext3. (obsahuje aj ext4)
Zvoľte miesto, kde chcete nájdene dáta uložiť. (Directory /home/tuke/Documents/zalohaEXT4)
Stlačte ‘C’ pre uloženie. Následne ukončite program. Overte si dáta cez prieskumníka:
1.8 Zdroje
- https://recoverit.wondershare.com/computer-tips/linux-undo-rm.html
- https://www.digitalocean.com/community/tutorials/how-to-install-testdisk-on-linux-and-recover-deleted-files
- https://iq.opengenus.org/dev-loop/
- https://www.techtarget.com/searchitoperations/tip/Ubuntu-snap-vs-apt-Which-package-manager-to-use-and-when
- https://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk
- https://www.handyrecovery.com/best-data-recovery-apps.html
- https://www.makeuseof.com/tag/data-recovery-work/
1.9 Dotazník / Kvíz
Dotazník resp. kvíz je hodnotený 0.5 bodom k zápočtu. Na jeho vyplnenie máte čas do 29. októbra. Odkaz na dotazník nájdete tu.
