perlu memulihkan data dari hard disk data yang saya gunakan testdisk dalam upaya saya untuk memperbaiki mbr dari virus rootkit

8

Sebelum aku mulai mengatakan apa situasiku di sini, ketahuilah bahwa aku akan SELAMAT DATANG bagi siapa saja yang dapat membantuku mengatasi kekacauan ini. Saya punya foto di sini dari tahun ke tahun pekerjaan yang melelahkan. Saya seorang fotografer semi-pro dan hard disk saya berisi sekitar 1,5 TB data dari foto. Ditambah 100GB seluruh perpustakaan musik saya, dan semua dvd saya, saya mengambil waktu untuk memberi tip ke hard disk saya. Tapi foto-foto saya adalah yang paling saya pedulikan, tidak bisa diganti.

Singkatnya, inilah yang terjadi: Saya selalu memiliki cadangan data saya menggunakan backblaze, yang merupakan cadangan online untuk windows. Saya memutuskan sekitar 3 bulan yang lalu saya ingin mendapatkan server untuk file saya menggunakan plex dan memutuskan Ubuntu adalah cara terbaik untuk pergi. Jadi saya menggunakan metode cadangan ini menggunakan sesuatu yang disebut "greyhole" dan dalam proses menyiapkan (2) 2TB hard drive dan (1) 1 TB harddrive pada program cadangan greyhole ini.

Maka saat itulah saya mendapat rootkit. Hal ini buruk dan saya pikir setelah 2 bulan mencoba semuanya, saya harus merefleksikan bios saya dan MASIH memiliki virus ini. Saya harus memformat ulang semua hard drive saya dan mencadangkan semuanya hingga 1 hard drive yang mengisinya hampir seluruhnya (hard drive 2 TB). Saya masih tidak bisa menyingkirkan virus ini luar biasa. Akhirnya saya menangkapnya. Itu tertanam di kartu ethernet jaringan saya. Siapa pun yang membaca ini harus memperhatikan bahwa apa pun yang tertanam di sana dapat dan akan menginfeksi router Anda, semua LAN Anda, dan tetap di komputer Anda bahkan melalui reflashing dari bios itu sendiri!

Bagaimanapun setelah saya sepertinya menyingkirkan hal yang saya masih punya file di hard drive saya. Saya tidak ingin menginstal ulang mesin saya, jadi saya mencoba menulis ulang MBR menggunakan utilitas yang disebut testdisk.

KESALAHAN BESAR

Saya tidak tahu apa yang saya lakukan. Dan sekarang saya tidak dapat membaca informasi saya!

Ini kabar baiknya? Setelah testdisk melakukan hal itu (yang terdiri dari saya menganalisis drive, dan menggunakan perintah WRITE untuk melakukan kerusakan, hanya perlu 1 detik untuk selesai. Artinya - Saya tidak duduk selama 5 jam proses penulisan 0's pada drive dengan "dd". Itu adalah hal kecil yang cepat saya lakukan. Jadi untuk alasan itu saya berpikir data masih harus di drive.

Inilah yang saya tahu:

  • drive adalah drive data, tidak ada OS. Saya menggunakan ubuntu sebagai OS di drive lain.
  • diformat sebagai ext3 atau ext4
  • ukuran = 2 TB
  • file = tidak tergantikan, seluruh hidup saya berfungsi - tidak perlu lagi.

Juga - backblaze tidak memiliki file saya lagi karena sudah lebih dari 30 hari. Saya telah menulis semua backup saya yang lain dengan 0 karena rootkit. Hard drive ini dulu dan satu-satunya sumber file saya pada saat ini terjadi. Kebetulan ini adalah satu-satunya waktu saya tanpa cadangan selama bertahun-tahun.

Berikut ini adalah copy / paste dari fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Dan lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Tolong bantu apa yang bisa saya lakukan? Saya takut mengacaukannya lagi dengan testdisk. Saya hanya ingin memulihkan file. Saya tidak bisa melihat bagaimana mereka pergi.

Terima kasih banyak-

Wardr
sumber
1
+1 untuk pertanyaan yang ditulis dengan sangat baik dan output perintah yang baik.
Kaz Wolfe

Jawaban:

11

Untuk memulihkan data dari suatu gambar pada drive USB eksternal, berikut adalah langkah-langkah yang diperlukan:

  1. Berhenti menggunakan drive yang rusak.
  2. Siapkan drive eksternal yang siap menampung dua kali jumlah data dari ukuran drive Anda yang rusak. Format dengan file filesem mampu menahan file besar seperti yang akan dibuat dari drive asli (misalnya ext4)
  3. Boot Ubuntu dari sesi langsung ( "Coba Ubuntu" ).
  4. Pasang drive eksternal Anda menggunakan Nautilus.
  5. Verifikasi titik pemasangan drive eksternal Anda.
    misalnya dengan Properties -> Lokasi di menu klik kanan.
  6. Verifikasi lokasi drive Anda yang rusak dengan salah satu dari perintah ini di terminal

    sudo fdisk -l
    sudo blkid
    
  7. Buat gambar dari drive Anda yang rusak

    sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Ganti sdXdengan drive Anda yang rusak (mis. sda) Atau partisi (mis sda1.). Ganti /mountpoint/DRIVENAME/dengan jalur aktual tempat drive USB Anda dipasang.

    Hanya dalam kasus drive Anda rusak ( sdX) sama dengan ukuran drive eksternal Anda ( sdY) Anda dapat mengkloning drive ( sudo dd if=/dev/sdX of=/dev/sdY) untuk melakukan penyelamatan data pada drive eksternal yang dikloning. Namun, bekerja pada gambar seperti yang ditunjukkan di atas adalah pendekatan yang jauh lebih aman.

    Sangat penting pada saat ini untuk mendapatkan ddperintah dengan benar. Jika Anda memberikan entri yang salah, of=Anda dapat merusak semua data yang ada di sana.

  8. Instal TestDisk di sistem langsung Anda seperti yang dijabarkan lebih lanjut dalam jawaban saya di bawah ini:

  9. Baca panduan yang luar biasa dan ringkas dari pembuat TestDisk untuk memulihkan.

  10. Dalam kasus drive Anda sangat besar, mount lain drive / partisi untuk menyimpan data pulih. Catat mountpoint ini untuk testdisk.
  11. Jalankan testdisk Instal testdisk pada gambar drive Anda:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    
  12. Simpan direktori dan file yang dipulihkan ke drive / partiton cadangan Anda (berikan testdisk titik mount drive ini sebagai lokasi penyimpanan jika berbeda dengan di mana gambar itu berada).
  13. Verifikasi data Anda ada di sana.
  14. Lepas semua drive atau matikan sesi langsung.

Jika kami belum berhasil memulihkan file kami, kami juga dapat menjalankan PhotoRec yang diinstal bersama dengan suite TestDisk untuk memulihkan file individual (tapi kemudian nama file izin, dan direktori akan hilang).

Drive Anda yang rusak masih belum tersentuh. Kami bahkan dapat membiarkan drive ini dipulihkan oleh layanan profesional jika kami gagal dengan langkah-langkah di atas.

Takkat
sumber
1
Ini hampir alur kerja saya yang tepat untuk pemulihan data. Miliki +10 rep.
Kaz Wolfe
@takkat: Coba lihat di sini . Saya ingin mengedit jawaban Anda untuk mengubah ddpernyataan 'menyinggung' (opsional) menjadi satu dengan gambar seperti dalam jawaban saya ....
Fabby
3

Saya percaya, antara lain, testdisk harus berfungsi sebagai alat untuk memulihkan data Anda. Namun, pertama dan terpenting - sebelum Anda melakukan hal lain, Anda harus menjaga salinan data terakhir Anda. Pertama, hanya pasang itu baca-saja mulai dari sini. (Anda dapat mengirim ulang dengan opsi ro, lihat man mount)

Saya sarankan Anda membuat disk besar (> 2TB) dan menyalin gambar lengkap dari disk Anda saat ini ke: di dd if=/dev/sda of=disk-image.ddmana / dev / sda adalah read-only Anda yang sudah di-mount semua disk penting dan disk-image.dd adalah file pada disk baru, pastikan ada 2TB gratis.

testdisk akan bekerja pada gambar juga dan harus dapat mengurutkan tabel partisi. Dapatkan kembali dengan pertanyaan dan komentar dan kita dapat mengambilnya dari sini ...

Tempat yang baik untuk mulai membaca ada di sini: http://epyxforensics.com/node/36 Di dalamnya berjalan dimulai dengan membuat salinan dd seperti yang saya sarankan di atas dan terus bekerja pada salinan.

Sudahkah Anda mendapatkan komputer pemeriksaan dengan testdisk, gparted dan mungkin hexedit diinstal?

DrSAR
sumber
-1

Berikan "extundelte" mencoba untuk memulihkan file Anda

mstrewe
sumber
Saya telah menggunakan ekstundelete dengan sukses. Namun, itu berada dalam situasi file yang dihapus ( rm -r *di tempat yang sangat tidak pantas). Dalam kasus @Head Snow, sepertinya dia telah menyembunyikan MBR-nya dan membutuhkan beberapa alat lain.
DrSAR
apakah file-file itu masih ada di sana, kan?
Wardr
Dari uraian Anda, sepertinya mereka masih ada di sana.
DrSAR
-1

Coba Recuva oleh Piriform (pembuat CCleaner ). Alat ini gratis. Dengan v1.51.1063 mereka menambahkan dukungan untuk sistem file ext2 & ext3.

Alat ini akan memindai disk dan mencoba memulihkan file individual yang telah dihapus dari disk. Alat ini telah menyimpan data penting untuk beberapa orang yang saya tahu bisnisnya bergantung pada data mereka (yaitu Data Quickbooks) setelah kehilangan segalanya karena disk yang sangat rusak, atau setelah disk diformat.

Saya tahu bahwa Recuva adalah alat yang hanya tersedia di Windows dan Mac, tetapi alat itu sekarang dapat digunakan pada format sistem file Linux yang khas, jadi saya pikir informasi ini berguna di sini di situs Tanya Jawab Ubuntu; terutama sebagai solusi untuk pertanyaan (walaupun, saya yakin dia telah menemukan solusi sekarang).

tlovely
sumber
2
Karena AU mendorong jawaban berkualitas tinggi yang bukan hanya tautan ke sumber daya pihak ketiga (dan penjelasan yang panjang mengapa jawaban Anda tidak di luar topik), dapatkah Anda menjelaskan cara menggunakan Recuva untuk memulihkan data dari disk dengan tabel partisi yang ditimpa?
David Foerster