需要从我使用 testdisk 尝试修复来自 rootkit 病毒的 mbr 的数据硬盘中恢复数据

tag-icon tag-icon data-recovery testdisk
需要从我使用 testdisk 尝试修复来自 rootkit 病毒的 mbr 的数据硬盘中恢复数据

在我开始讲述我的情况之前,请知道,我将永远感激任何能帮助我摆脱困境的人。我这里的照片是我多年辛苦工作的结果。我是一名半职业摄影师,我的硬盘里大约有 1.5 TB 的照片数据。此外还有我整个音乐库的 100GB,以及我花时间备份到硬盘上的所有 DVD。但我最关心的是我的照片,它们是不可替代的。

现在简要介绍一下发生的事情:我一直使用 backblaze(适用于 Windows 的在线备份)备份我的数据。大约 3 个月前,我决定使用 plex 为我的文件建立一个服务器,并决定 Ubuntu 是最好的选择。所以我使用一种称为“greyhole”的备份方法,并在这个 greyhole 备份程序上设置 (2) 2TB 硬盘和 (1) 1TB 硬盘。

就在那时,我感染了 rootkit。这个东西很讨厌,我想在尝试了 2 个月的所有方法后,我不得不重新刷新我的 BIOS,但仍然感染了这种病毒。我不得不重新格式化我的所有硬盘,并将所有内容备份到 1 个几乎占满整个硬盘的硬盘上(2 TB 硬盘)。我仍然没有摆脱这种病毒,这太不可思议了。最后我感染了它。它嵌入在我的网络以太网卡中。任何读到这篇文章的人都应该注意,嵌入其中的任何东西都可能感染你的路由器、你的所有 LAN,并且即使刷新 BIOS 本身,它也会留在你的电脑上!

无论如何,在我似乎摆脱了那个东西之后,我的硬盘上仍然有文件。我不想再次感染我的机器,所以我尝试使用一个名为 testdisk 的实用程序重写 MBR。

大错

我完全不知道自己在做什么。现在我无法读取我的信息!

好消息是? testdisk 完成工作后(包括我分析驱动器,并使用 WRITE 命令造成损坏),仅用了 1 秒钟就完成了。这意味着 - 我没有花 5 个小时用“dd”在驱动器上写入 0。我做的只是一件快速的小事。因此,我认为数据仍然必须在驱动器上。

以下是我所知道的:

  • 该驱动器是数据驱动器,没有操作系统。我在另一个驱动器上使用 ubuntu 作为操作系统。
  • 格式化为 ext3 或 ext4
  • 大小 = 2 TB
  • 文件 = 无可替代,我一生的心血——毫不夸张地说。

此外,backblaze 不再拥有我的文件,因为已经超过 30 天了。由于 rootkit,我用 0 覆盖了所有其他备份。发生这种情况时,这个硬盘是并且仍然是我文件的唯一来源。巧合的是,这是我多年来唯一一次没有备份。

以下是 fdisk -l 的复制/粘贴

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

和 lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

请帮忙我该怎么办?我害怕再次搞砸 testdisk。我只想恢复文件。我不知道它们是怎么不见的。

太感谢了-

答案1

要从外部 USB 驱动器上的映像恢复数据,需要执行以下步骤:

  1. 停止使用损坏的驱动器。

  2. 准备好外部驱动器两次受损驱动器的大小中的数据量。 使用能够容纳原始驱动器所创建的大文件的文件系统进行格式化(例如 ext4)

  3. 从实时会话启动 Ubuntu (“尝试 Ubuntu”) 。

  4. 使用 Nautilus 安装您的外部驱动器。

  5. 验证外部驱动器的挂载点。
    例如,右键单击菜单上的属性-->位置。

  6. 使用终端中的任意命令验证损坏驱动器的位置

     sudo fdisk -l
 sudo blkid

  7. 创建损坏驱动器的映像

     sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd

sdX用损坏的驱动器(例如sda)或分区(例如)替换sda1/mountpoint/DRIVENAME/用 USB 驱动器安装的实际路径替换。

仅有的如果您损坏的驱动器 ( sdX) 的大小与外部驱动器 ( ) 的大小相同,sdY您可以克隆驱动器 ( sudo dd if=/dev/sdX of=/dev/sdY) 以在克隆的外部驱动器上执行数据救援。不过,处理如上所示的图像是一种更安全的方法。

此时,正确输入命令至关重要dd。如果您输入了错误的命令,of=可能会损坏那里存在的所有数据。

  1. 在您的实时系统上安装 TestDisk,正如我在下面的回答中进一步阐述的那样:

  1. 阅读 TestDisk 制造商提供的精彩而简明的恢复指南。

  2. 如果你的驱动器很大,请安装其他驱动器/分区以保存恢复的数据。记下 testdisk 的此挂载点。

  3. 跑步测试磁盘在驱动器映像上:

    cd /mountpoint/DRIVENAME/
sudo testdisk rescue.dd

  4. 将恢复的目录和文件保存到备份驱动器/分区(将此驱动器的挂载点作为存储位置提供给 testdisk,以防它与图像所在的位置不同)。

  5. 验证您的数据是否存在。

  6. 卸载所有驱动器或关闭实时会话。

如果我们未能成功恢复文件,我们也可以运行相簿它与 TestDisk 套件一起安装,用于恢复单个文件(但文件名权限和目录将会丢失)。

您的损坏驱动器仍然未受影响。如果上述步骤失败,我们甚至可以让专业服务来恢复该驱动器。

答案2

我相信,除其他功能外,testdisk 应该可以作为恢复数据的工具。但是,最重要的是 - 在做其他任何事情之前,您需要保护数据的最后副本。首先,从现在开始仅以只读方式挂载它。(您可以使用选项 ro 重新挂载它,请参阅man mount

我建议您准备一个大磁盘(>2TB)并复制当前磁盘的完整映像:dd if=/dev/sda of=disk-image.dd其中 /dev/sda 是只读安装的所有重要磁盘,而 disk-image.dd 是新磁盘上的文件,请确保有 2TB 可用空间。

testdisk 也可以在映像上工作,并且应该能够对分区表进行排序。有问题和意见请回复,我们可以从这里开始...

开始阅读的好地方是这里: http://epyxforensics.com/node/36 在它的演练中,它首先按照我上面的建议制作 dd 副本,然后继续处理该副本。

您是否拥有一台安装了 testdisk、gparted 和 hexedit 的检查计算机?

答案3

“延伸”尝试恢复你的文件

答案4

尝试雷库瓦由 Piriform(制造商CCleaner)。该工具是免费的。在 v1.51.1063 中,他们添加了对 ext2 和 ext3 文件系统的支持。

该工具将扫描磁盘并尝试恢复已从磁盘中删除的单个文件。我认识的几个人的业务依赖于他们的数据(即 Quickbooks 数据),但在磁盘严重损坏或磁盘格式化后,他们的数据全部丢失,这个工具为他们挽救了关键数据。

我知道雷库瓦是一种仅适用于 Windows 和 Mac 的工具,但该工具现在可用于典型的 Linux 文件系统格式,所以我认为 Ubuntu Q&A 网站中的信息很有用;特别是作为问题的解决方案(虽然我确信他/她现在已经找到了解决方案)。

相关内容