Восстановление данных. Практическое руководство, стр. 60

На основании вышесказанного можно сделать вывод о том, что ручное восстановление файлов с помощью lde крайне непроизводительно и трудоемко. Однако при этом данный подход является наиболее "прозрачным" и надежным. Что касается восстановления оригинальных имен файлов, то эту операцию лучше всего осуществлять с помощью отладчика файловой системы debugfs.

Восстановление с помощью отладчика файловой системы debugfs

Загружаем в отладчик редактируемый раздел или его копию. Сделать это можно с помощью команд

debugfs /dev/sdb1
или
debugfs my_dump
соответственно. Если мы планируем осуществлять запись на диск, необходимо указать ключ
-w
:
debugfs -w my_dump
или
debugfs -w /dev/sdb1
.

Чтобы просмотреть список удаленных файлов, даем команду

lsdel
(или
lsdel <i>t_sec</i>
, где
<i>t_sec</i>
 — количество секунд, истекших с момента удаления файла). На экране появится список удаленных файлов (разумеется, без имен). Файлы, удаленные более
t_sec
секунд назад (если эта опция задана), в данный список не попадут.

Команда

cat &lt;<i>N</i>&gt;
выводит содержимое текстового файла на терминал. Здесь
&lt;<i>N</i>&gt;
— номер inode, заключенный в угловые скобки. При выводе двоичных файлов разобрать смысл отображаемой на экране информации практически невозможно. Такие файлы должны сбрасываться в дамп командой
dump &lt;<i>N</i>&gt; <i>new_filе_name</i>
, где
<i>new_file_name</i>
— новое имя файла (с путем), под которым он будет записан в файловую систему, из-под которой был запущен отладчик debugfs. Файловая система восстанавливаемого раздела при этом остается неприкосновенной. Иными словами, команда должна даваться без ключа
--w
.

При желании можно восстановить файл непосредственно на самой восстанавливаемой файловой системе (что особенно удобно при восстановлении больших файлов). В этом нам поможет команда

undel &lt;<i>N</i>&gt; <i>undel_file_name</i>
, где
<i>undel_file_name</i>
— имя, которое будет присвоено файлу после восстановления.

Внимание!

Выполняя такую операцию, помните, что команда

undel
крайне агрессивна и деструктивна по своей природе. Она затирает первую свободную запись в таблице каталогов, делая восстановление оригинальных имен невозможным.

Команда

stat &lt;<i>N</i>&gt;
отображает содержимое inode в удобочитаемом виде, а команда
mi &lt;<i>N</i>&gt;
позволяет редактировать их по своему усмотрению. Для ручного восстановления файла (откровенно говоря, этого не пожелаешь и врагу) мы должны установить счетчик ссылок (
link count
) на единицу, а время удаления (
deletion time
), наоборот, сбросить в ноль. Затем отдать команду
seti &lt;<i>N</i>&gt;
, помечающую данный inode как используемый, и для каждого из блоков файла выполнить команду
setb <i>X</i>
, где
<i>X</i>
— номер блока.

Совет

Перечень блоков, занимаемых файлом, можно просмотреть с помощью команды

stat
. В отличие от lde, она отображает не только непосредственные, но и косвенные блоки, что несравненно удобнее.

Остается только дать файлу имя, что осуществляется путем создания ссылки на каталог (

directory link
). Сделать это можно с помощью команды
ln &lt;<i>N</i>&gt; <i>undel_file_name</i>
, где
<i>undel_file_name</i>
— имя, которое будет дано файлу после восстановления (при необходимости имя восстанавливаемого файла указывается с полным путем).

Внимание!

Создание ссылок на каталог необратимо затирает оригинальные имена удаленных файлов.

После присвоения имени восстановленному файлу полезно дать команду

dirty
, чтобы файловая система была автоматически проверена при следующей загрузке. Как вариант, можно выйти из отладчика и вручную запустить команду
fsck
с ключом
-f
, форсирующим проверку.

Теперь перейдем к восстановлению оригинального имени. Рассмотрим простейший случай, когда каталог, содержащий удаленный файл (также называемый родительским каталогом), все еще цел. В этом случае следует дать команду

stat dir_nam
e и запомнить номер inode, возвращенный этой командой.

Затем следует дать отладчику команду

dump &lt;<i>INODE</i>&gt; <i>dir_file</i>
, где
<i>INODE</i>
— номер сообщенного индексного дескриптора, a
<i>dir_file</i>
— имя файла "родной" файловой системы, в которую будет записан дамп. Полученный дамп следует загрузить в шестнадцатеричный редактор и просмотреть его содержимое в "сыром" виде. Все имена будут там. При желании можно написать утилиту-фильтр, выводящую только удаленные имена. На Perl это не замет и десяти минут.

А как быть, если родительский каталог тоже удален? В этом случае и он будет помечен как удаленный! Выводим список удаленных индексных дескрипторов, выбираем из этого списка каталоги, формируем перечень принадлежащих им блоков и сохраняем дамп в файл, который затем следует просмотреть вручную или с помощью утилиты-фильтра. Как уже отмечалось, порядок расположения файлов в inode очень часто совпадает с порядком расположения файлов в каталоге, поэтому восстановление оригинальных имен в четырех случаях из пяти проходит на ура.

При тяжких разрушениях, когда восстанавливаемый файл приходится собирать по кусочкам, помогает команда

dump_unused
, выводящая на терминал все неиспользуемые блоки. Имеет смысл перенаправить вывод в файл, запустить hexedit и покопаться в этой куче хлама — это, по крайней мере, проще, чем искать по всему диску. На дисках, заполненных более, чем на три четверти, этот трюк сокращает массу времени.

Таким образом, можно сделать вывод о том, что отладчик debugfs в значительной мере автоматизирует восстановление удаленных файлов, однако восстановить файл с разрушенным inode он не способен, и без lde в данном случае не обойтись.

Восстановление удаленных файлов с помощью утилиты R-Studio

Утилита R-Studio for NTFS, вопреки своему названию, поддерживает не только NTFS, но и файловые системы ext2fs/ext3fs (рис. 8.7). С точки зрения обычных пользователей, это — хорошее средство для автоматического восстановления удаленных файлов. Утилита предоставляет интуитивно-понятный интерфейс, проста в управлении и в благоприятных ситуациях позволяет восстанавливать удаленные файлы несколькими щелчками мыши. К недостаткам R-Studio for NTFS можно отнести: