開源數(shù)據(jù)恢復(fù)工具簡介

zerosniper

開源數(shù)據(jù)恢復(fù)工具同樣可解燃眉之急　　再
安全
的計算機(jī)也會出現(xiàn)災(zāi)難。幸好，一些
開源
應(yīng)用
軟件
有助于恢復(fù)重要數(shù)據(jù)，讓中招的系統(tǒng)起死回生，比如SystemRescueCD、dd、Partedmagic、BackTrack、Security Tools Distribution、Helix和TestDisk等�！　∥覀兯�有人都會在某個時候遇到災(zāi)難。一天你正在悠哉樂哉，突然發(fā)現(xiàn)有
臺機(jī)
子啟動不了――不湊巧的是，這臺機(jī)子存放著對你來說很重要的各種數(shù)據(jù)。盡管某種程度的災(zāi)難在所難免，但重要的是如何應(yīng)對災(zāi)難。　　雖然計算機(jī)和
文件系統(tǒng)
一年比一年來得可靠，但災(zāi)難恢復(fù)技術(shù)總是會有用武之地。由于開源解決方案能夠幫你從這種混亂當(dāng)中恢復(fù)過來，所以你不會被專有產(chǎn)品的成本或者許可協(xié)議牢牢束縛。如果你愿意，還可以改動源代碼，滿足自己的要求�！　”疚膶⑻接懳覀兛梢赃\(yùn)用哪些開源解決方案來恢復(fù)數(shù)據(jù)、讓中招的系統(tǒng)起死回生，還能使自己免遭損害。本文介紹的許多解決方案可以跨平臺運(yùn)行(
Linux
/Windows/Mac)，不過有些只能在*NIX平臺上運(yùn)行，文章會有相應(yīng)介紹�！　�幾種災(zāi)難場景　　沒有兩種數(shù)據(jù)災(zāi)難是以幾乎一模一樣的方式出現(xiàn)的。為此，你需要根據(jù)出現(xiàn)的災(zāi)難來采取相應(yīng)的恢復(fù)措施�！　　ず唵位謴�(fù)：你可以采用這種恢復(fù)方法來搶救剛剛被刪除(通常是不小心刪除)的文件，因?yàn)橐馔鈩h除數(shù)據(jù)是導(dǎo)致文件丟失的最主要的一個原因。大多數(shù)時候，你的本地“恢復(fù)刪除”功能或者回收箱/垃圾桶能讓你避免犯下十分愚蠢的舉動，但有時候這毫無用處：比方說，如果你強(qiáng)行進(jìn)行了硬刪除，或者你從沒有啟用恢復(fù)功能的卷當(dāng)中刪除了某個文件。通常來說，你可以使用用來查找及恢復(fù)某些類型文件的工具(見本文稍后介紹的PhotoRec)，在脫機(jī)狀態(tài)下掃描這個問題卷，以這種方式來找回刪除文件�！　　�復(fù)雜恢復(fù)：這適用于恢復(fù)丟失的整個分區(qū)或者引導(dǎo)裝入程序，以及該分區(qū)上的所有內(nèi)容。這里你可以使用兩種基本的方法：恢復(fù)可以從分區(qū)恢復(fù)的數(shù)據(jù)，分區(qū)信息本身用不著重新構(gòu)建;或者試圖重新構(gòu)建分區(qū)的元數(shù)據(jù)，并按正常方式重新掛載分區(qū)。　　第一種方法比較簡單，不過如果你正在處理
操作系統(tǒng)
分區(qū)，那么從該分區(qū)恢復(fù)過來的文件很有可能無法恢復(fù)到可引導(dǎo)系統(tǒng)上。第二種方法提供了比較全面的恢復(fù)，但這將取決于有多少實(shí)際的卷數(shù)據(jù)原封不動。幸好，有辦法可以從甚至已部分格式化的卷當(dāng)中恢復(fù)文件，后文會有介紹。　　·可移動
存儲
或者光學(xué)介質(zhì)：我也經(jīng)常遇到過
CD
或者DVD最后因
盤片
受損或者年久而無法讀取的事情，不過我很幸運(yùn)，總能夠從上面恢復(fù)所需內(nèi)容。大多數(shù)恢復(fù)工具可以恢復(fù)移動驅(qū)動器或者光學(xué)介質(zhì)上面的內(nèi)容;不過拿CD和DVD來說，要牢記的重要一點(diǎn)是，使用什么驅(qū)動器來讀取上面的內(nèi)容。如果你可以訪問若干只CD/DVD驅(qū)動器，那么不妨使用不同驅(qū)動器來創(chuàng)建鏡像。你可能會發(fā)現(xiàn)，一只驅(qū)動器比另一只驅(qū)動器有更好的糾錯或者抖動容限機(jī)制，因而能夠恢復(fù)其他驅(qū)動器可能完全跳過的數(shù)據(jù)。另外，從Linux里面而不是Windows里面執(zhí)行恢復(fù)也可能會得到不同的結(jié)果。　　·加密介質(zhì)恢復(fù)：遇到這種情況，你只好聽天由命了。如果試圖從加密卷恢復(fù)內(nèi)容(比如加密密鑰)，除非當(dāng)初使用了極其薄弱的加密算法(可誰又會采用這種算法呢?)，那么找回數(shù)據(jù)的可能性幾乎與從樹上掉下來的蘋果不遵守牛頓萬有引力定律一樣小。處理加密卷時比處理標(biāo)準(zhǔn)卷要小心一倍：
備份
卷頭(加密文件系統(tǒng)通常對此有相應(yīng)的措施)，并保存在安全地方，卷頭同樣經(jīng)過加密。　　不管在什么情況下，只要你開始執(zhí)行恢復(fù)，就要確保掛載上去以便恢復(fù)數(shù)據(jù)的任何介質(zhì)都是按只讀方式來掛載的。這可以盡量減小發(fā)行版或者操作系統(tǒng)掛載、在“易碎”的驅(qū)動器(含有需要恢復(fù)的數(shù)據(jù))上執(zhí)行讀/寫操作的可能性。另外，盡量不要對原始介質(zhì)采取什么操作：從介質(zhì)上創(chuàng)建鏡像文件，保存到已知正常的另一只驅(qū)動器上，然后利用鏡像文件來恢復(fù)。[img=590,442]http://
image
.it168.
com
/cms/2008-7-16/Image/2008716162942.jpg[/img]
　　圖1：BackTrack LiveCD發(fā)行版含有很多恢復(fù)工具，包括功能強(qiáng)大的Autopsy工具集
　　專門用于恢復(fù)數(shù)據(jù)的Linux發(fā)行版　　如果你有一項(xiàng)重要的恢復(fù)工作要處理，專門用于恢復(fù)的Linux發(fā)行版是最簡單的起始辦法。你可以從一個地方得到諸多工具，以及規(guī)�；虼蠡蛐〉纳鐓^(qū)�！　�Puppy Linux和DSL等許多“小型”發(fā)行版就非常適用于處理這項(xiàng)工作，適合單單掛載卷、手動把文件拷貝出去，不需要進(jìn)行任何特殊操作。話雖如此，精通技術(shù)的人如果使用的發(fā)行版內(nèi)置了盡可能多的專門用于恢復(fù)的工具，效果會更好�！　”确秸f，基于Gentoo的SystemRescueCD發(fā)行版把眾多工具塞入到了一個200MB大小的.
ISO
文件中，從CD或者
USB
驅(qū)動器啟動后，就可以從命令行或者可選的X桌面來執(zhí)行恢復(fù)功能。不過，這個發(fā)行版確實(shí)需要事先對Linux有所了解;如果你不太習(xí)慣進(jìn)行從命令行手動掛載卷之類的操作，可能會覺得有點(diǎn)不知所措。盡管如此，要是你不介意學(xué)習(xí)一下，還是有可能幾乎完成任何恢復(fù)任務(wù)的。　　對用戶更友好一點(diǎn)的另一個恢復(fù)發(fā)行版是Partedmagic，它有許多同樣的工具，但啟動后直接進(jìn)入到X桌面，可以通過圖形用戶界面來訪問一些最常見、功能最強(qiáng)大的程序。同樣至少了解一點(diǎn)Linux很有幫助，即便那只是像掛載或者卸載文件系統(tǒng)這樣的基本技術(shù)，但不大精通的用戶可能會從這里開始入手�！　∵@兩個發(fā)行版還讓你可以自由運(yùn)行外面的一大批Linux應(yīng)用程序;需要的話，連接到互聯(lián)網(wǎng);以及處理你可能希望的大多數(shù)其他操作(它們隨帶的程序不如大多數(shù)桌面發(fā)行版來得眾多，但如果你想要的話，添加選擇的應(yīng)用程序或者對磁盤鏡像執(zhí)行其他定制并不難。)　　不怕使用命令行、想要得到一整套可用工具的專家們可以選擇眾多LiveCD發(fā)行版當(dāng)中的一款，這些發(fā)行版經(jīng)過了編譯，旨在執(zhí)行各種取證調(diào)查工作(數(shù)據(jù)恢復(fù)是幾項(xiàng)潛在功能當(dāng)中的一種)。　　我喜歡BackTrack和基于Knoppix的STD(安全工具發(fā)行版)，后者除了一系列取證/數(shù)據(jù)恢復(fù)應(yīng)用程序外，還塞入了面向一般安全的一批工具�！　×硪粋�用于取證/恢復(fù)工作的基于Knoppix的衍生版本是Helix。默認(rèn)狀態(tài)下，它運(yùn)行在“偏執(zhí)狂模式”(paranoid mode)下：它不會掛載任何文件系統(tǒng)，除非明確接到了要求這么做的命令。因?yàn)檫@些發(fā)行版?zhèn)�個都是LiveCD，所以每個都要試一下，看看在默認(rèn)狀態(tài)下自己最習(xí)慣使用哪一個。[img=590,443]http://image.it168.com/cms/2008-7-16/Image/2008716163155.
JPG
[/img]
　　圖2：Helix提供了明顯不同于BackTrack或者STD的用戶界面
　　dd及其變種　　dd來自Linux世界;或者確切地說，來自*NIX世界，它是一個常見的命令行數(shù)據(jù)恢復(fù)工具，它可以用來從任何已掛載的文件系統(tǒng)或者設(shè)備來創(chuàng)建鏡像文件。如果你處理的文件系統(tǒng)或者設(shè)備受到了某種損壞，你又想對數(shù)據(jù)的備份副本而不是對設(shè)備本身執(zhí)行恢復(fù)操作，dd就很有用�！　∫�介紹dd的工作方式，最好的辦法就是給出一個實(shí)際例子。Paulski Pages網(wǎng)站顯示了dd用于從出現(xiàn)物理故障的驅(qū)動器執(zhí)行數(shù)據(jù)恢復(fù)。
Debian
Admin提供了另一種方法，為基于Debian的Linux發(fā)行版而編寫，但基本概念具有一定的普遍適用性。用戶把文件系統(tǒng)拷貝到鏡像文件，把鏡像文件作為文件系統(tǒng)掛載上去，然后從鏡像文件執(zhí)行恢復(fù)操作�！　�幾乎任何Linux發(fā)行版都隨帶常規(guī)版本的dd，但你可能想使用名為dd_rescue的變種，它有一些略有不同的功能。你還可以在dd_rescue的基礎(chǔ)上使用dd_rhelp，這個實(shí)用程序使得dd_rescue用起來更簡單了。不過也有名為ddrescue(注意沒有下劃線)的另一個程序，它也具有略有不同的一組選項(xiàng)�！　≌堊⒁猓喝绻�你使用這些程序當(dāng)中的某一個來創(chuàng)建鏡像文件，一定要確保鏡像文件目標(biāo)至少要有與原始設(shè)備一樣多的剩余空間。另外，dd可用來破壞任何已掛載文件系統(tǒng)或者設(shè)備上的數(shù)據(jù)，所以在試圖使用該程序之前要熟悉如何正確使用它!

　　圖3：你可以使用TestDisk來搜索受損磁盤，找到丟失的分區(qū)
　　文件雕刻　　前面提到過，有可能在分區(qū)信息已受損或者卷本身一部分已經(jīng)過重新格式化的情況下，從文件系統(tǒng)當(dāng)中恢復(fù)文件。這可以通過名為“數(shù)據(jù)雕刻”(
data
carving)或者“文件雕刻”(
file
carving)的一項(xiàng)技術(shù)來實(shí)現(xiàn)：恢復(fù)程序查找某些類型的文件共同具有的模式，從而找出某些類別的文件。這項(xiàng)技術(shù)的優(yōu)點(diǎn)之一就在于，它幾乎是完全自動的：你只要把它指向某個分區(qū)――或者分區(qū)所在位置，選擇把文件恢復(fù)到哪個位置，之后程序就會自行完成繁重的尋找工作。　　TestDisk的開發(fā)者開發(fā)了名為PhotoRec的一款出色的文件雕刻工具，它可以從幾乎任何一種介質(zhì)上恢復(fù)許多常見格式的文件�！　∵@個工具幾乎與獨(dú)立的文件恢復(fù)工具一樣必不可少。我曾在
數(shù)碼相機(jī)
的存儲卡上試了一下――由于存儲卡里面的內(nèi)容被清空了，我還以為無法恢復(fù)了。結(jié)果卻幾乎能從存儲卡恢復(fù)所有內(nèi)容――包括照片和錄像。它無法恢復(fù)一些實(shí)際的文件名，但文件本身都可以完好無損地讀出來。與TestDisk一樣，默認(rèn)情況下它會試圖把文件拷貝到正在挽救的介質(zhì)之外的某個地方，避免進(jìn)一步受損�！　�PhotoRec的默認(rèn)設(shè)置一般來說夠用了，但如果你需要粒度更細(xì)的控制，有幾個選項(xiàng)可以設(shè)定。正常情況下禁用的“偏執(zhí)狂模式”可以恢復(fù)任何內(nèi)容，包括部分受損的文件;如果啟用了這項(xiàng)功能，可以恢復(fù)更多的數(shù)據(jù)，但恢復(fù)過程可能要慢得多。同樣道理，“保留受損文件”可恢復(fù)無法完全讀出來的文件，希望用戶能夠從受損文件進(jìn)一步搶救內(nèi)容，可能要使用十六進(jìn)制編輯器或者另一種工具�！　≌堊⒁猓捍蠖鄶�(shù)時候，用PhotoRec恢復(fù)過來的文件沒有原來的名稱，但內(nèi)部元數(shù)據(jù)(如
MP3
標(biāo)簽或者EXIF數(shù)據(jù))仍然還在。另外要注意：如果你在比較小的文件系統(tǒng)中尋找某一種很具體的文件，可以使用該程序的內(nèi)部選項(xiàng)來縮小搜索范圍，不必把時間浪費(fèi)在恢復(fù)磁盤里面的所有文件�！　∧�認(rèn)情況下，Partedmagic急救盤也含有TestDisk和PhotoRec，所以這是你獲得這兩種工具、讓它們發(fā)揮恢復(fù)作用的最簡單的方式之一――但也可以把它們作為獨(dú)立程序來下載使用。如果你想，兩者也可以集成到BartPE急救盤中;我的辦法就是把它們與PortableApps安裝盤放在一起。也可以把它們掛載到可移動驅(qū)動器上，啟動安裝DVD(如果你有一張安裝DVD)，進(jìn)入“系統(tǒng)恢復(fù)”命令行，然后在這里運(yùn)行這些程序。

　　圖4：用PhotoRec恢復(fù)過來的這些文件有了新名稱，但元數(shù)據(jù)告訴你它們是音頻文件
　　高級的數(shù)據(jù)雕刻程序　　TestDisk和PhotoRec只是露出的冰山一角，而更多的高級程序通常用于全面的取證工作，而不是一般的普通使用�！　�Foremost也許是所有數(shù)據(jù)雕刻程序的鼻祖，它原先是為美國空軍特別調(diào)查辦公室開發(fā)的�，F(xiàn)在它已進(jìn)入到了公共領(lǐng)
域
，所以幾乎可以用在任何地方，甚至重新用于其他程序中。請注意：Foremost的二進(jìn)制代碼并非唾手可得;你一般需要利用源代碼編譯程序，才可以讓它正常使用。有些Linux發(fā)行版(如
Ubuntu
Feisty)在軟件庫當(dāng)中有一個預(yù)編譯版本的Foremost，從而便于下載及使用�！　�Scalpel也是如此，它可以說是0.69版本的Foremost的改寫版――運(yùn)行速度更快，提高了
內(nèi)存
利用率，還有其他許多便利功能，可實(shí)現(xiàn)更高級的文件檢索功能。它也沒有唾手可得的二進(jìn)制版本，必須利用源代碼進(jìn)行編譯�！　�Sleuth Kit是功能極其強(qiáng)大的一套工具，可以在眾多平臺(*NIX、
BSD
和使用CYGWIN庫的Windows)上運(yùn)行。與Foremost和Scalpel一樣，它可以根據(jù)文件的散列或者簽名來搜尋已刪除文件，但還有其他眾多功能。TSK名義上是一組命令行工具，如果你熟悉命令行，就可以使用它。但你也可以下載名為Autopsy的圖形界面工具，它為工具包里面的工具提供了功能強(qiáng)大的前端程序�！　∮幸慌鷶�(shù)據(jù)雕刻及恢復(fù)工具既不采用開源軟件，也不采用商用軟件，但在這里值得補(bǔ)充一下，那就是PartitionSupport.com實(shí)用程序：它們運(yùn)行在32位的Windows上，提供了一批功能，可用于從各種各樣的受損文件系統(tǒng)恢復(fù)數(shù)據(jù)。　　具有恢復(fù)功能的應(yīng)用程序還包括FindJPG和FindDoc，它們可以逐個磁道地徹底搜索磁盤，把所有.JPG或者.DOC文件重新構(gòu)建到當(dāng)前目錄，就像PhotoRec那樣。這些工具同樣不提供源代碼，但它們易于使用;如果是供個人使用，可免費(fèi)獲得，因而成為出色的個人或者公司內(nèi)部恢復(fù)工具包。

　　圖5：Sleuth Kit的fsstat工具的結(jié)果詳細(xì)顯示了從受損驅(qū)動器轉(zhuǎn)儲的文件系統(tǒng)鏡像文件的信息
       原文出處：
http://safe.it168.com/ss/2008-07-16/200807161654748.shtml
               
               
               
               

本文來自ChinaUnix博客，如果查看原文請點(diǎn)：http://blog.chinaunix.net/u/14220/showart_2158907.html