Instalirajte Scalpel (alat za oporavak sistema datoteka) za oporavak izbrisanih datoteka/mapika u Linuxu

Mnogo puta se dešava da slučajno ili greškom pritisnemo 'shift + delete' za fajlove. Po ljudskoj prirodi imate naviku da koristite 'shift + Del' umjesto da koristite samo opciju 'Delete'. Zapravo, imao sam ovaj incident prije nekoliko dana. Radio sam na projektu i sačuvao svoj radni fajl u direktorijumu. U tom direktoriju je bilo mnogo neželjenih datoteka i potrebno ih je trajno izbrisati. Pa sam počeo da ih brišem jednu po jednu. Dok sam brisao te datoteke, slučajno sam pritisnuo 'shift delete' na jednu od mojih važnih datoteka. Datoteka je trajno izbrisana iz mog direktorija. Pitao sam se kako da povratim izbrisane datoteke i nisam znao šta da radim. Skoro sam potrošio mnogo vremena na vraćanje fajla, ali bez sreće.

Poznavajući malo tehničkog znanja znao sam o tome kako funkcionira sistem datoteka i HDD. Kada slučajno izbrišete datoteku, sadržaj datoteke se ne briše sa vašeg računara. Upravo je uklonjen iz mape baze podataka i ne možete vidjeti datoteku u direktoriju, ali i dalje ostaje negdje na vašem tvrdom disku. U osnovi sistem ima pokazivač liste na blokove na uređaju za skladištenje i dalje ima podatke. Podaci se ne brišu sa blok uređaja za pohranu osim ako i dok ne prepišete novom datotekom. Sa ove tačke gledišta, rekao sam da moja izbrisana datoteka može i dalje ostati negdje u neindeksiranoj oblasti Hard diska. Međutim, preporučuje se da odmah isključite uređaj čim shvatite da ste izbrisali bilo koju važnu datoteku. Unmount vam pomaže da spriječite prepisivanje blokiranih datoteka novom datotekom.

U ovom scenariju nisam želio previše pisati te podatke, pa sam radije pretraživao tvrdi disk bez montiranja.

Obično u Windows-u imamo tone alata treće strane za oporavak izgubljenih podataka, ali u Linux-u samo nekoliko. Međutim, ja koristim Ubuntu kao operativni sistem i vrlo je teško pronaći alat koji vraća izgubljenu datoteku. Tokom svog istraživanja upoznao sam „Scalpel“ alat koji prolazi kroz cijeli tvrdi disk i vraća izgubljenu datoteku. Instalirao sam i uspješno povratio svoju izgubljenu datoteku uz pomoć alata Scalpel. To je zaista nevjerovatan alat, moram reći.

To se može dogoditi i vama. Pa sam pomislio da svoje iskustvo podelim sa vama. U ovom članku ću vam pokazati kako oporaviti izbrisane datoteke uz pomoć skalpela. Pa idemo.

Šta je skalpel alat?

Scalpel je oporavak sistema datoteka otvorenog koda za Linux i Mac operativne sisteme. Alat posjećuje skladište blokova baze podataka i identificira izbrisane datoteke iz njega i odmah ih oporavlja. Osim za oporavak datoteka, koristan je i za digitalnu forenzičku istragu.

Kako instalirati Scalpel u Debian/Ubuntu i Linux Mint

Da biste instalirali Scalpel, otvorite terminal pritiskom na “CTrl+Alt+T” sa radne površine i pokrenite sljedeću naredbu.

sudo apt-get install scalpel

Sample Output

Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  scalpel
0 upgraded, 1 newly installed, 0 to remove and 390 not upgraded.
Need to get 0 B/33.9 kB of archives.
After this operation, 118 kB of additional disk space will be used.
Selecting previously unselected package scalpel.
(Reading database ... 151082 files and directories currently installed.)
Unpacking scalpel (from .../scalpel_1.60-1build1_i386.deb) ...
Processing triggers for man-db ...
Setting up scalpel (1.60-1build1) ...
tecmint@tecmint-Latitude-D630:~$

Instaliranje Scalpela u RHEL/CentOS i Fedora

Da biste instalirali alat za oporavak skalpela, prvo morate omogućiti epel spremište. Jednom kada se omogući, možete učiniti „yum“ da ga instalirate kao što je prikazano.

yum install scalpel

Sample Output

Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: centos.01link.hk
 * epel: mirror.nus.edu.sg
 * epel-source: mirror.nus.edu.sg
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package scalpel.i686 0:2.0-1.el6 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

==========================================================================================================================================================
 Package		Arch		Version			Repository		Size
==========================================================================================================================================================
Installing:
 scalpel                i686            2.0-1.el6               epel                    50 k

Transaction Summary
==========================================================================================================================================================
Install       1 Package(s)

Total download size: 50 k
Installed size: 108 k
Is this ok [y/N]: y
Downloading Packages:
scalpel-2.0-1.el6.i686.rpm                                                           |  50 kB     00:00     
Running rpm_check_debug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
  Installing : scalpel-2.0-1.el6.i686							1/1 
  Verifying  : scalpel-2.0-1.el6.i686                                                   1/1 

Installed:
  scalpel.i686 0:2.0-1.el6                                                                                                                                

Complete!

Kada je skalpel instaliran, potrebno je da izvršite uređivanje teksta. Po zadanim postavkama uslužni program scalpel ima svoju konfiguracijsku datoteku u direktoriju '/etc', a puna putanja je “/etc/scalpel/scalpel.conf” ili “/etc /scalpel.conf“. Možete primijetiti da je sve komentirano (#). Dakle, prije pokretanja skalpela morate dekomentirati format datoteke koji trebate oporaviti. Međutim, dekomentiranje cijele datoteke oduzima mnogo vremena i generira velike lažne rezultate.

Recimo, na primjer, želim da oporavim samo „.jpg“ datoteke, pa jednostavno dekomentirajte odjeljak datoteke „.jpg“ za konfiguracijski fajl skalpela.

GIF and JPG files (very common)
        gif     y       5000000         \x47\x49\x46\x38\x37\x61        \x00\x3b
        gif     y       5000000         \x47\x49\x46\x38\x39\x61        \x00\x3b
        jpg     y       200000000       \xff\xd8\xff\xe0\x00\x10        \xff\xd9

Idite na terminal i upišite sljedeću sintaksu. „/dev/sda1“ je lokacija uređaja sa kojeg je datoteka već izbrisana.

sudo scalpel /dev/sda1-o output

Prekidač '-o' označava izlazni direktorij u koji želite vratiti izbrisane datoteke. Uvjerite se da je ovaj direktorij prazan prije pokretanja bilo koje naredbe, inače će vam dati grešku. Izlaz gornje naredbe je.

Scalpel version 1.60
Written by Golden G. Richard III, based on Foremost 0.69.

Opening target "/dev/sda1"

Image file pass 1/2.
/dev/sda1:   6.1% |***** 		|    6.6 GB    39:16 ETA

Kao što vidite, skalpel sada obavlja svoj proces i trebat će vremena za oporavak vaše izbrisane datoteke ovisno o prostoru na disku koji pokušavate skenirati i brzini stroja.

Svima bih vam preporučio da imate naviku da koristite samo brisanje umjesto “Shift + Delete“. Jer kao što je rečeno uvijek je bolje spriječiti nego liječiti.