ルートキットウイルスからmbrを修復するためにテストディスクを使用したデータハードディスクからデータを回復する必要がある


8

私の状況がここにあることを言う前に、私がこの混乱を手伝ってくれる人には永遠に感謝しています。私はここで何年も何年もの骨の折れる仕事からの写真を持っています。私はセミプロの写真家で、ハードディスクには写真の約1.5 TBのデータが含まれています。さらに、100GBの音楽ライブラリ全体と、すべてのDVDを手に入れて、ハードディスクに情報を提供しました。しかし、私の写真は私が最も心配しているものであり、交換することはできません。

今ここで要するに何が起こったかです:私は常にbackblazeを使用して自分のデータのバックアップを持っています。これはWindowsのオンラインバックアップです。私は約3か月前に、プレックスを使用してサーバーにファイルを配信することを望んでおり、Ubuntuが最善の方法であると判断しました。そこで、「グレイホール」と呼ばれるものを使用して、このグレイホールバックアッププログラムに(2)2TBハードドライブと(1)1TBハードドライブをセットアップする過程で、このバックアップ方法を利用していました。

その後、ルートキットを入手しました。これは厄介で、2か月間すべてを試した後、私は私のBIOSを再フラッシュする必要があり、STILLはこのウイルスに感染していたと思います。すべてのハードドライブを再フォーマットし、すべてを1台のハードドライブにバックアップして、ほぼ完全に埋める必要がありました(2 TBハードドライブ)。私はまだそれが信じられないほどこのウイルスを取り除かなかった。最終的に私はそれを捕まえた。それは私のネットワークイーサネットカードに埋め込まれました。これを読んでいる人は誰でも、そこに埋め込まれているものはルーターやすべてのLANに感染する可能性があり、これらに感染し、BIOS自体を再フラッシュしてもコンピュータに留まることに注意する必要があります。

とにかく、私は自分のファイルをハードドライブにまだ持っているものを取り除くように見えた後。マシンを再感染させたくなかったので、testdiskというユーティリティを使用してMBRを書き直そうとしました。

大ミス

私は何をしていたのかわかりませんでした。そして今、私は私の情報を読むことができません!

ここに良いニュースがありますか?testdiskがそれを実行した後(ドライブを分析し、WRITEコマンドを使用して損傷を与えたところ、それが完了するまでに1秒しかかかりませんでした。意味-私は、0を書き込む5時間のプロセスに座っていませんでした。ドライブに "dd"を付けます。これは簡単なことでした。そのため、データはドライブに残っている必要があると思います。

これが私が知っていることです:

  • ドライブはデータドライブであり、OSではありません。別のドライブのOSとしてubuntuを使用しました。
  • ext3またはext4としてフォーマット
  • サイズ= 2 TB
  • ファイル=かけがえのない、私の人生はすべて機能します。

また、30日以上経過しているため、backblazeにはファイルがありません。ルートキットにより、すべてのバックアップを0で上書きしました。このハードドライブは、これが起こった当時の私のファイルの唯一のソースでした。偶然にも、これは私が長年バックアップをしていない唯一の時間です。

これはfdisk -lのコピー/貼り付けです

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

そしてlshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

どうすればよいですか?私はテストディスクで再びそれを台無しにするのが怖いです。ファイルを復元したいだけです。彼らがどのように消えたのか私にはわかりません。

どうもありがとうございます-


1
非常によく書かれた質問と優れたコマンド出力の+1。
Kaz Wolfe

回答:


11

外部USBドライブのイメージからデータを回復するには、次の手順が必要です。

  1. 破損したドライブの使用を中止します。
  2. 損傷したドライブのサイズの2倍のデータ量を保持する外部ドライブを準備します。 元のドライブ(例:ext4)から作成されるような大きなファイルを保持できるファイルシステムでフォーマットする
  3. ライブセッションからUbuntuを起動します(「Ubuntuを試す」)。
  4. Nautilusを使用して外部ドライブをマウントします。
  5. 外付けドライブのマウントポイントを確認します。
    たとえば、右クリックメニューの[プロパティ]-> [場所]を使用します。
  6. ターミナルでこれらのコマンドのいずれかを使用して、破損したドライブの場所を確認します

    sudo fdisk -l
    sudo blkid
    
  7. 破損したドライブのイメージを作成する

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    sdX破損したドライブ(例:)sdaまたはパーティション(例:)と交換しますsda1/mountpoint/DRIVENAME/USBドライブがマウントされた実際のパスに置き換えます。

    破損したドライブ()が外部ドライブ()のサイズと等しい場合にのみ、ドライブ(sdXsdYをクローンsudo dd if=/dev/sdX of=/dev/sdYして、クローンされた外部ドライブでデータレスキューを実行できます。それでも、上記のように画像を操作する方がはるかに安全な方法です。

    この時点でddコマンドを正しく取得することが重要です。間違ったエントリを入力するof=と、そこに存在していたすべてのデータが損傷する可能性があります。

  8. 以下の私の答えでさらに詳しく説明されているように、ライブシステムにTestDiskをインストールします。

  9. 復旧するには、TestDiskのメーカーから提供されたすばらしい簡潔なガイドをお読みください。

  10. ドライブが巨大な場合は、回復したデータを保持するために別のドライブ/パーティションをマウントします。testdiskのこのマウントポイントに注意してください。
  11. ドライブのイメージでtestdisk testdiskをインストールするを実行します。

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. リカバリされたディレクトリとファイルをバックアップドライブ/パーティションに保存します(イメージの場所と異なる場合は、このドライブのマウントポイントをストレージの場所としてtestdiskに指定します)。
  13. データが存在することを確認します。
  14. すべてのドライブをアンマウントするか、ライブセッションをシャットダウンします。

ファイルの復元に失敗した場合は、TestDiskスイートと共にインストールされたPhotoRecを実行して、個々のファイルを復元することもできます(ただし、ファイル名のアクセス許可とディレクトリは失われます)。

破損したドライブはまだ手つかずのままです。上記の手順で失敗した場合に備えて、このドライブを専門のサービスで復旧させることもできます。


1
これは、ほぼ正確にデータを回復するためのワークフローです。+10担当者がいます。
Kaz Wolfe

@takkat:こちらをご覧ください。(オプションの)「問題のある」ddステートメントを、私の回答のような画像のステートメントに変更するために、回答を編集したいと思います
。–

3

特に、testdiskはデータを回復するためのツールとして機能するはずです。ただし、何よりもまず、他のことをする前に、データの最後のコピーを保護する必要があります。まず、これ以降は読み取り専用でマウントします。(オプションroで再マウントできます。を参照してくださいman mount

大きな(> 2TB)ディスクを手に入れて、現在のディスクの完全なイメージをコピーすることをお勧めします:dd if=/dev/sda of=disk-image.dd/ dev / sdaは読み取り専用でマウントされたすべての重要なディスクであり、disk-image.ddは新しいディスク上のファイルです。 2TBの空き容量があることを確認してください。

testdiskはイメージでも機能し、パーティションテーブルをソートできるはずです。質問やコメントで戻ってきてください。ここからそれを取得できます...

読み始めるのに適した場所は次のとおりです。http//epyxforensics.com/node/36 ウォークスルーでは、最初に 上記で提案したようにddコピーを作成することから始め、コピーの作業を続けます。

testdisk、gparted、そしておそらくhexeditがインストールされた試験用コンピュータを手に入れましたか?


-1

与える「extundelte」あなたのファイルを回復しようとします


extundeleteを正常に使用しました。しかし、それは(rm -r *非常に不適切な場所で)ファイルが削除された状況でした。@Head Snowの場合、彼はMBRをホースしているため、他のツールが必要になるようです。
DrSAR 2013年

ファイルはまだ残っていますか?
ワードの管理者2013年

あなたの説明から、彼らはまだそこにいるはずです。
DrSAR 2013年

-1

Piriform(CCleanerのメーカー)によるRecuvaを試してください。ツールは無料です。v1.51.1063では、ext2およびext3ファイルシステムのサポートが追加されました。

ツールはディスクをスキャンし、ディスクから削除された個々のファイルを回復しようとします。このツールは、非常に破損したディスクですべてを失ったか、ディスクをフォーマットした後に、ビジネスがデータ(Quickbooksデータ)に依存していた数人の個人の重要なデータを保存しました。

RecuvaはWindowsとMacでのみ利用可能なツールであることは知っていますが、このツールは一般的なLinuxファイルシステムフォーマットで使用できるようになったため、Ubuntu Q&Aサイトで役立つ情報だと思いました。特に質問の解決策として(ただし、彼/彼女は今までに解決策を見つけたはずですが)。


2
AUは、サードパーティのリソースへのリンクだけではない高品質の回答(および回答がトピックから外れていない理由についての長い説明)を奨励しているため、Recuvaを使用して、パーティションテーブルが上書きされたディスクからデータを回復する方法を説明できますか?
David Foerster 2014年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.