ho bisogno di recuperare i dati da un disco rigido su cui ho usato testdisk nel mio tentativo di riparare mbr da un virus rootkit

Prima di iniziare a dire qual è la mia situazione qui, per favore sappi che sarei PER SEMPRE GRATEFUL per chiunque possa aiutarmi con questo casino. Ho qui delle foto di anni e anni di lavoro scrupoloso. Sono un fotografo semi-professionista e il mio disco rigido contiene circa 1,5 TB di dati dalle foto. Oltre 100 GB di tutta la mia libreria musicale e di tutti i miei dvd, mi sono preso del tempo per dare un'occhiata al mio hard disk. Ma le mie foto sono ciò che mi preoccupa di più, non sono sostituibili.

Ora qui in breve è quello che è successo: ho sempre avuto un backup dei miei dati usando backblaze, che è un backup online per Windows. Ho deciso circa 3 mesi fa che volevo ottenere un server per i miei file usando plex e ho deciso che Ubuntu era il modo migliore per andare. Quindi stavo usando questo metodo di backup usando qualcosa chiamato "greyhole" e nel processo di impostazione di (2) dischi rigidi da 2 TB e (1) hard disk da 1 TB su questo programma di backup greyhole.

Quindi è quando ho un rootkit. Questa cosa è stata brutta e penso che dopo 2 mesi di tentativi, ho dovuto riflettere il mio bios e STILL ha avuto questo virus. Ho dovuto riformattare tutti i miei dischi rigidi e ho eseguito il backup di tutto su 1 disco rigido riempendolo quasi interamente (un disco rigido da 2 TB). Non mi sono ancora liberato di questo virus, è stato incredibile. Alla fine l'ho preso. Era incorporato nella mia scheda ethernet di rete. Chiunque legga questo dovrebbe tener conto del fatto che tutto ciò che è incorporato può infettare il tuo router, tutta la tua LAN e rimanere sul tuo computer anche attraverso il riflesso del BIOS stesso!

Comunque dopo mi è sembrato di sbarazzarmi di ciò che avevo ancora i miei file sul mio disco rigido. Non volevo reinfettare le mie macchine, quindi ho provato a riscrivere l'MBR utilizzando un'utilità chiamata testdisk.

GROSSO ERRORE

Non avevo idea di cosa stavo facendo. E ora non riesco a leggere le mie informazioni!

Ecco la buona notizia? Dopo che testdisk ha fatto la sua cosa (che consisteva nel fatto che io analizzavo il disco rigido e che utilizzavo il comando WRITE per fare il danno, ci sono voluti solo 1 secondo per farlo. Significato - Non ho passato 5 ore a scrivere 0 sull'unità con "dd". E 'stata una piccola cosa veloce che ho fatto. Per questo motivo sto pensando che i dati debbano essere ancora sull'unità.

Ecco quello che so:

• l'unità è un'unità dati, nessun sistema operativo. Ho usato Ubuntu come sistema operativo su un'altra unità.
• formattato come ext3 o ext4
• dimensione = 2 TB
• files = insostituibili, tutta la mia vita funziona - nessuna esagerazione.

Inoltre - backblaze non ha più i miei file perché sono passati più di 30 giorni. Ho scritto su tutti i miei altri backup con 0 a causa del rootkit. Questo disco rigido era ed è l'unica fonte dei miei file al momento in cui ciò è accaduto. Per coincidenza, questa è l'unica volta in cui sono stato senza backup per molti anni.

Ecco una copia / incolla di fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

E lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Aiutatemi cosa posso fare? Ho paura di rovinarlo di nuovo con testdisk. Voglio solo recuperare i file. Non riesco a vedere come sono andati.

Grazie mille-

Per recuperare i dati da un'immagine su un'unità USB esterna, ecco i passaggi necessari:

1. Smettere di usare l'unità danneggiata.
2. Avere un'unità esterna pronta per contenere il doppio della quantità di dati dalle dimensioni dell'unità danneggiata. Formatta con un file system in grado di contenere un file così grande che verrà creato dall'unità originale (ad esempio ext4)
3. Avvia Ubuntu da una sessione live ( "Prova Ubuntu" ).
4. Montare l'unità esterna utilizzando Nautilus.
5. Verifica il punto di montaggio dell'unità esterna.
   ad es. con Proprietà -> Posizione nel menu di scelta rapida.

6. Verifica la posizione dell'unità danneggiata con uno di questi comandi in un terminale

   sudo fdisk -l
   sudo blkid
   

7. Crea un'immagine del tuo disco danneggiato

   sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
   

   Sostituire sdXcon l'unità danneggiata (ad es. sda) O la partizione (ad es sda1.). Sostituire /mountpoint/DRIVENAME/con il percorso effettivo in cui è stata montata l'unità USB.

   _{Solo nel caso in cui l'unità danneggiata ( sdX) sia uguale alla dimensione dell'unità esterna ( sdY), è possibile clonare l'unità ( sudo dd if=/dev/sdX of=/dev/sdY) per eseguire il salvataggio dei dati su un'unità esterna clonata. Tuttavia, lavorare su un'immagine come mostrato sopra è un approccio molto più sicuro.}

   A questo punto è fondamentale ottenere ddcorrettamente il comando. Se hai inserito la voce errata, of=potresti danneggiare tutti i dati che esistevano lì.

8. Installa TestDisk sul tuo sistema live come è stato ulteriormente elaborato nella mia risposta di seguito:

   • Come posso recuperare le mie partizioni Windows accidentalmente perse dopo aver installato Ubuntu?

9. Leggi la guida fantastica e concisa dei produttori di TestDisk per recuperare.

10. Nel caso in cui l'unità sia enorme, montare un'altra unità / partizione per contenere i dati recuperati. Nota questo mountpoint per testdisk.

11. Esegui testdisk sull'immagine del tuo disco:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    

12. Salvare directory e file recuperati sull'unità di backup / partiton (fornire a testdisk il mountpoint di questa unità come posizione di archiviazione nel caso in cui sia diverso da dove si trova l'immagine).
13. Verifica che i tuoi dati siano presenti.
14. Smonta tutte le unità o arresta la sessione live.

Nel caso in cui non fossimo riusciti a recuperare i nostri file, potremmo anche eseguire PhotoRec che è stato installato insieme alla suite TestDisk per recuperare singoli file (ma poi i permessi dei nomi dei file e le directory andranno perse).

L'unità danneggiata è ancora intatta. Possiamo anche consentire a questo disco di essere ripristinato da un servizio professionale nel caso in cui falliamo con i passaggi precedenti.

Credo, tra le altre cose, testdisk dovrebbe funzionare come uno strumento per recuperare i tuoi dati. Tuttavia, prima di tutto, prima di fare qualsiasi altra cosa, è necessario proteggere l'ultima copia dei dati. Innanzitutto, montalo solo di sola lettura da qui in poi. (Puoi rimontarlo con l'opzione ro, vedi man mount)

Suggerisco di procurarsi un disco di grandi dimensioni (> 2 TB) e di copiare un'immagine completa del disco corrente su: dd if=/dev/sda of=disk-image.dddove / dev / sda è il disco di sola lettura montato su tutti i dischi importanti e disk-image.dd è un file sul nuovo disco, assicurati che ci siano 2 TB gratuiti.

testdisk funzionerà anche su un'immagine e dovrebbe essere in grado di ordinare la tabella delle partizioni. Torna con domande e commenti e possiamo prenderlo da qui ...

Un buon posto per iniziare a leggere è qui: http://epyxforensics.com/node/36 Nella sua passeggiata inizia facendo una copia dd come ho suggerito sopra e continua a lavorare sulla copia.

Ti sei procurato un computer da visita con testdisk, gparted e forse hexedit installato?

Dare "extundelte" un tentativo di recuperare i vostri file

Prova Recuva di Piriform (creatore di CCleaner ). Lo strumento è gratuito. Con v1.51.1063 hanno aggiunto il supporto per i file system ext2 ed ext3.

Lo strumento eseguirà la scansione di un disco e tenterà di recuperare singoli file che sono stati eliminati dal disco. Questo strumento ha salvato i dati critici per alcune persone che conosco le cui attività dipendevano dai loro dati (ad es. Dati di Quickbooks) dopo aver perso tutto su un disco pesantemente danneggiato o aver formattato il disco.

So che Recuva è uno strumento disponibile solo su Windows e Mac, ma lo strumento può ora essere utilizzato su formati di file system tipici di Linux, quindi ho pensato che le informazioni fossero utili qui in un sito di domande e risposte di Ubuntu; in particolare come soluzione alla domanda (sebbene, ormai, sono sicuro che abbia trovato una soluzione).