I-install ang Scalpel (Usa ka Tool sa Pagbawi sa Filesystem) aron Mabawi ang Natangtang nga mga File/Folder sa Linux
Daghang mga higayon nga mahitabo nga wala kita tuyoa o sa sayop nga pagpindot sa 'shift + delete' sa mga file. Sa kinaiya sa tawo ikaw adunay batasan sa paggamit sa 'shift + Del' imbes nga gamiton lamang ang 'Delete' nga kapilian. Naa gyud ko ani nga panghitabo pila ka adlaw ang milabay. Nagtrabaho ko sa usa ka proyekto ug gitipigan ang akong file sa trabaho sa usa ka direktoryo. Adunay daghang mga dili gusto nga mga file sa kana nga direktoryo ug kinahanglan nga matanggal nga permanente. Busa gisugdan nako ang pagtangtang kanila sa usag usa. Samtang gitangtang ang mga file, wala tuyoa nako napindot ang 'shift delete' sa usa sa akong importanteng file. Ang file permanente nga natangtang gikan sa akong direktoryo. Naghunahuna ko kung giunsa pagbawi ang mga natangtang nga mga file ug wala ako nahibal-an kung unsa ang buhaton. Hapit ko mogugol ug daghang oras sa pagpasig-uli sa file apan walay swerte.
Nahibal-an ang gamay nga teknikal nga kahibalo nahibal-an nako kung giunsa ang sistema sa file ug HDD molihok. Kung wala ka tuyoa nga matangtang ang usa ka file, ang sulud sa file dili matangtang sa imong computer. Gikuha ra kini gikan sa folder sa database ug dili nimo makita ang file sa direktoryo, apan kini nagpabilin sa usa ka lugar sa imong hard drive. Sa panguna ang sistema adunay usa ka pointer sa lista sa mga bloke sa aparato sa pagtipig adunay pa nga datos. Ang data dili mapapas gikan sa block storage device gawas kon ug hangtod nga mo-overwrite ka gamit ang bag-ong file. Niini nga punto sa panglantaw gipagawas nako nga ang akong natangtang nga file mahimo pa nga magpabilin sa usa ka lugar nga wala ma-index nga lugar sa Hard disk. Bisan pa, girekomenda nga i-unmount dayon ang usa ka aparato sa diha nga nahibal-an nimo nga imong gitangtang ang bisan unsang hinungdanon nga file. Ang Unmount makatabang kanimo nga mapugngan ang mga gibabagan nga mga file gikan sa pag-overwrite sa bag-ong file.
Sa kini nga senaryo dili nako gusto nga isulat ang kana nga datos, busa gipalabi nako ang pagpangita sa hard drive nga wala kini gipataas.
Kasagaran sa Windows makakuha kami tonelada sa mga himan sa 3rd party aron mabawi ang nawala nga datos, apan sa Linux gamay ra. Bisan pa, gigamit nako ang Ubuntu ingon usa ka operating system ug lisud kaayo ang pagpangita usa ka himan nga makabawi sa nawala nga file. Atol sa akong panukiduki nahibal-an nako ang bahin sa 'Scalpel'usa ka himan nga nagdagan sa tibuuk nga hard drive ug nabawi ang nawala nga file. Akong gi-install ug malampuson nga nabawi ang nawala nga file sa tabang sa Scalpel tool. Talagsaon kaayo nga himan nga kinahanglan nako isulti.
Mahimo usab kini nga mahitabo kanimo. Mao nga nakahunahuna ko nga ipaambit ang akong kasinatian kanimo. Sa kini nga artikulo ipakita ko kanimo kung giunsa mabawi ang mga natangtang nga file gamit ang tabang sa scalpel tool. Busa ania na.
Unsa ang Scalpel Tool?
Ang Scalpel usa ka open source file system recovery para sa Linux ug Mac operation system. Ang himan nagbisita sa block database storage ug nagpaila sa mga natangtang nga mga file gikan niini ug mabawi kini dayon. Gawas sa pagbawi sa file kini usab mapuslanon alang sa digital forensics nga imbestigasyon.
Giunsa ang Pag-install sa Scalpel sa Debian/Ubuntu ug Linux Mint
Aron ma-install ang Scalpel, ablihi ang terminal pinaagi sa pagbuhat sa CTrl + Alt + T gikan sa desktop ug pagdagan ang mosunud nga mando.
$ sudo apt-get install scalpel
Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: scalpel 0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded. Need to get 0 B/33.9 kB of archives. After this operation, 118 kB of additional disk space will be used. Selecting previously unselected package scalpel. (Reading database ... 151082 files and directories currently installed.) Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ... Processing triggers for man-db ... Setting up scalpel (1.60-1build1) ... [email :~$
Pag-instalar sa Scalpel sa RHEL/CentOS ug Fedora
Aron ma-install ang tool sa pagbawi sa scalpel, kinahanglan nimo nga unahon ang epel repository. Kung mahimo na kini, mahimo nimo ang 'yum' aron ma-install kini sama sa gipakita.
# yum install scalpel
Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: centos.01link.hk * epel: mirror.nus.edu.sg * epel-source: mirror.nus.edu.sg Setting up Install Process Resolving Dependencies --> Running transaction check ---> Package scalpel.i686 0:2.0-1.el6 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================================== Installing: scalpel i686 2.0-1.el6 epel 50 k Transaction Summary ========================================================================================================================================================== Install 1 Package(s) Total download size: 50 k Installed size: 108 k Is this ok [y/N]: y Downloading Packages: scalpel-2.0-1.el6.i686.rpm | 50 kB 00:00 Running rpm_check_debug Running Transaction Test Transaction Test Succeeded Running Transaction Installing : scalpel-2.0-1.el6.i686 1/1 Verifying : scalpel-2.0-1.el6.i686 1/1 Installed: scalpel.i686 0:2.0-1.el6 Complete!
Kung na-install na ang scalpel kinahanglan nimo buhaton ang pag-edit sa teksto. Pinaagi sa default scalpel utility adunay kaugalingon nga configuration file sa '/etc' nga direktoryo ug ang bug-os nga agianan mao ang /etc/scalpel/scalpel.conf o /etc/scalpel.conf. Mamatikdan nimo nga ang tanan gikomentaryo (#). Mao nga sa dili pa magpadagan sa scalpel kinahanglan nimo nga i-uncomment ang format sa file nga kinahanglan nimo nga mabawi. Bisan pa nga wala’y komento ang tibuuk nga file nag-usik sa oras ug makamugna usa ka daghang sayup nga mga sangputanan.
Ingnon ta pananglitan gusto ko nga mabawi ra ang '.jpg' nga mga file, busa i-uncomment lang ang '.jpg' nga seksyon sa file alang sa scalpel configuration file.
# GIF and JPG files (very common)
gif y 5000000 \x47\x49\x46\x38\x37\x61 \x00\x3b
gif y 5000000 \x47\x49\x46\x38\x39\x61 \x00\x3b
jpg y 200000000 \xff\xd8\xff\xe0\x00\x10 \xff\xd9Lakaw ngadto sa terminal ug i-type ang mosunod nga syntax. Ang '/ dev/sda1' usa ka lokasyon sa usa ka aparato diin ang file natangtang na.
$ sudo scalpel /dev/sda1-o output
Ang '-o' switch nagpaila sa usa ka direktoryo sa output, diin gusto nimo ibalik ang imong mga natangtang nga mga file. Siguroha nga kini nga direktoryo walay sulod sa dili pa magpadagan sa bisan unsa nga sugo kon dili kini maghatag kanimo og sayop. Ang output sa sugo sa ibabaw mao ang.
Scalpel version 1.60 Written by Golden G. Richard III, based on Foremost 0.69. Opening target "/dev/sda1" Image file pass 1/2. /dev/sda1: 6.1% |***** | 6.6 GB 39:16 ETA
Sama sa imong nakita, ang scalpel karon naghimo sa proseso niini ug kini magkinahanglan og panahon aron mabawi ang imong natangtang nga file depende sa disk space nga imong gisulayan nga i-scan ug ang katulin sa makina.
Girekomenda ko kamong tanan nga adunay batasan sa paggamit lamang sa pagtangtang imbis nga Shift + Delete. Kay sa giingon nga prevention is always better than cure.