Zoeken op website

Installeer Scalpel (een bestandssysteemhersteltool) om verwijderde bestanden/mappen in Linux te herstellen

Het komt vaak voor dat we per ongeluk of per ongeluk op ‘shift + delete‘ naar bestanden drukken. Van nature heb je de gewoonte om ‘shift + Del’ te gebruiken in plaats van alleen de optie ‘Verwijderen’ te gebruiken. Ik heb dit incident een paar dagen geleden ook gehad. Ik werkte aan een project en bewaarde mijn werkbestand in een map. Er waren veel ongewenste bestanden in die map en deze moeten permanent worden verwijderd. Dus begon ik ze één voor één te verwijderen. Terwijl ik deze bestanden verwijderde, drukte ik per ongeluk op ‘shift delete‘ naar een van mijn belangrijke bestanden. Het bestand is definitief uit mijn map verwijderd. Ik vroeg me af hoe ik verwijderde bestanden kon herstellen, maar had geen idee wat ik moest doen. Ik heb bijna veel tijd besteed aan het herstellen van het bestand, maar zonder succes.

Omdat ik een beetje technische kennis had, wist ik hoe het bestandssysteem en HDD werken. Wanneer u per ongeluk een bestand verwijdert, wordt de inhoud van het bestand niet van uw computer verwijderd. Het is zojuist uit de databasemap verwijderd en u kunt het bestand niet in de map zien, maar het blijft nog steeds ergens op uw harde schijf staan. In principe heeft het systeem een lijstaanwijzer naar blokken op het opslagapparaat die nog steeds de gegevens bevatten. De gegevens worden niet van het blokopslagapparaat verwijderd, tenzij en totdat u het overschrijft met een nieuw bestand. Vanuit dit standpunt heb ik laten weten dat mijn verwijderde bestand mogelijk nog ergens in een niet-geïndexeerd gebied van de harde schijf achterblijft. Het wordt echter aanbevolen om een apparaat onmiddellijk te ontkoppelen zodra u zich realiseert dat u een belangrijk bestand hebt verwijderd. Unmount helpt u te voorkomen dat de geblokkeerde bestanden worden overschreven door een nieuw bestand.

In dit scenario wilde ik die gegevens niet overschrijven, daarom zocht ik liever op de harde schijf zonder deze te mounten.

Normaal gesproken krijgen we in Windows talloze tools van derden om verloren gegevens te herstellen, maar in Linux slechts weinig. Ik gebruik echter Ubuntu als besturingssysteem en het is erg moeilijk om een tool te vinden die verloren bestanden kan herstellen. Tijdens mijn onderzoek maakte ik kennis met ‘Scalpel‘, een tool die de hele harde schijf doorzoekt en een verloren bestand herstelt. Ik heb mijn verloren bestand geïnstalleerd en met succes hersteld met behulp van de Scalpel tool. Het is echt een geweldig hulpmiddel, moet ik zeggen.

Ook bij jou kan dit gebeuren. Daarom dacht ik erover om mijn ervaring met jullie te delen. In dit artikel laat ik je zien hoe je verwijderde bestanden kunt herstellen met behulp van de scalpeltool. Hier gaan we.

Wat is Scalpeltool?

Scalpel is een open source bestandssysteemherstel voor Linux en Mac besturingssystemen. De tool bezoekt de blokdatabaseopslag en identificeert de verwijderde bestanden daaruit en herstelt ze onmiddellijk. Naast bestandsherstel is het ook nuttig voor digitaal forensisch onderzoek.

Scalpel installeren in Debian/Ubuntu en Linux Mint

Om Scalpel te installeren, opent u de terminal door “CTrl+Alt+T” op het bureaublad uit te voeren en voert u de volgende opdracht uit.

sudo apt-get install scalpel
Voorbeelduitvoer
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Scalpel installeren in RHEL/CentOS en Fedora

Om de scalpelhersteltool te installeren, moet u eerst de epel-repository inschakelen. Zodra het is ingeschakeld, kun je ‘yum‘ gebruiken om het te installeren, zoals weergegeven.

yum install scalpel
Voorbeelduitvoer
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Zodra scalpel is geïnstalleerd, moet u tekstbewerking uitvoeren. Standaard heeft het scalpelhulpprogramma zijn eigen configuratiebestand in de map '/etc' en het volledige pad is “/etc/scalpel/scalpel.conf” of “/etc /scalpel.conf“. Je kunt zien dat alles is becommentarieerd (#). Voordat u scalpel uitvoert, moet u dus het commentaar verwijderen van het bestandsformaat dat u moet herstellen. Het verwijderen van commentaar op het hele bestand is echter tijdrovend en zal enorme valse resultaten opleveren.

Laten we bijvoorbeeld zeggen dat ik alleen ‘.jpg’ bestanden wil herstellen, dus verwijder eenvoudigweg het commentaar ‘.jpg’ bestandssectie voor het scalpelconfiguratiebestand.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Ga naar terminal en typ de volgende syntaxis. De ‘/dev/sda1‘ is een locatie van een apparaat waarvan het bestand al is verwijderd.

sudo scalpel /dev/sda1-o output

De schakelaar ‘-o’ geeft een uitvoermap aan, waar u uw verwijderde bestanden wilt herstellen. Zorg ervoor dat deze map leeg is voordat u een opdracht uitvoert, anders krijgt u een foutmelding. De uitvoer van het bovenstaande commando is.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Zoals u ziet, voert het scalpel nu zijn proces uit en zal het enige tijd duren om uw verwijderde bestand te herstellen, afhankelijk van de schijfruimte die u probeert te scannen en de snelheid van de machine.

Ik zou jullie allemaal aanraden om er een gewoonte van te maken om alleen delete te gebruiken in plaats van “Shift + Delete“. Want zoals gezegd is voorkomen altijd beter dan genezen.