Восстановление данных. Практическое руководство

На основании вышесказанного можно сделать вывод о том, что ручное восстановление файлов с помощью lde крайне непроизводительно и трудоемко. Однако при этом данный подход является наиболее "прозрачным" и надежным. Что касается восстановления оригинальных имен файлов, то эту операцию лучше всего осуществлять с помощью отладчика файловой системы debugfs.
Восстановление с помощью отладчика файловой системы debugfs
Загружаем в отладчик редактируемый раздел или его копию. Сделать это можно с помощью команд 
debugfs /dev/sdb1
 или 
debugfs my_dump
 соответственно. Если мы планируем осуществлять запись на диск, необходимо указать ключ 
-w
: 
debugfs -w my_dump
 или 
debugfs -w /dev/sdb1
.
Чтобы просмотреть список удаленных файлов, даем команду 
lsdel
 (или 
lsdel <i>t_sec</i>
, где 
<i>t_sec</i>
 — количество секунд, истекших с момента удаления файла). На экране появится список удаленных файлов (разумеется, без имен). Файлы, удаленные более 
t_sec
 секунд назад (если эта опция задана), в данный список не попадут.
Команда 
cat &lt;<i>N</i>&gt;
 выводит содержимое текстового файла на терминал. Здесь 
&lt;<i>N</i>&gt;
 — номер inode, заключенный в угловые скобки. При выводе двоичных файлов разобрать смысл отображаемой на экране информации практически невозможно. Такие файлы должны сбрасываться в дамп командой 
dump &lt;<i>N</i>&gt; <i>new_filе_name</i>
, где 
<i>new_file_name</i>
 — новое имя файла (с путем), под которым он будет записан в файловую систему, из-под которой был запущен отладчик debugfs. Файловая система восстанавливаемого раздела при этом остается неприкосновенной. Иными словами, команда должна даваться без ключа 
--w
.
При желании можно восстановить файл непосредственно на самой восстанавливаемой файловой системе (что особенно удобно при восстановлении больших файлов). В этом нам поможет команда 
undel &lt;<i>N</i>&gt; <i>undel_file_name</i>
, где 
<i>undel_file_name</i>
 — имя, которое будет присвоено файлу после восстановления.
 
Внимание!
 
Выполняя такую операцию, помните, что команда 
undel
 крайне агрессивна и деструктивна по своей природе. Она затирает первую свободную запись в таблице каталогов, делая восстановление оригинальных имен невозможным.
 
Команда 
stat &lt;<i>N</i>&gt;
 отображает содержимое inode в удобочитаемом виде, а команда 
mi &lt;<i>N</i>&gt;
 позволяет редактировать их по своему усмотрению. Для ручного восстановления файла (откровенно говоря, этого не пожелаешь и врагу) мы должны установить счетчик ссылок (
link count
) на единицу, а время удаления (
deletion time
), наоборот, сбросить в ноль. Затем отдать команду 
seti &lt;<i>N</i>&gt;
, помечающую данный inode как используемый, и для каждого из блоков файла выполнить команду 
setb <i>X</i>
, где 
<i>X</i>
 — номер блока.
 
 
Совет
 
Перечень блоков, занимаемых файлом, можно просмотреть с помощью команды 
stat
. В отличие от lde, она отображает не только непосредственные, но и косвенные блоки, что несравненно удобнее.
 
Остается только дать файлу имя, что осуществляется путем создания ссылки на каталог (
directory link
). Сделать это можно с помощью команды 
ln &lt;<i>N</i>&gt; <i>undel_file_name</i>
, где 
<i>undel_file_name</i>
 — имя, которое будет дано файлу после восстановления (при необходимости имя восстанавливаемого файла указывается с полным путем).
 
Внимание!
 
Создание ссылок на каталог необратимо затирает оригинальные имена удаленных файлов.
 
После присвоения имени восстановленному файлу полезно дать команду 
dirty
, чтобы файловая система была автоматически проверена при следующей загрузке. Как вариант, можно выйти из отладчика и вручную запустить команду 
fsck
 с ключом 
-f
, форсирующим проверку.
Теперь перейдем к восстановлению оригинального имени. Рассмотрим простейший случай, когда каталог, содержащий удаленный файл (также называемый родительским каталогом), все еще цел. В этом случае следует дать команду 
stat dir_nam
e и запомнить номер inode, возвращенный этой командой.
Затем следует дать отладчику команду 
dump &lt;<i>INODE</i>&gt; <i>dir_file</i>
, где 
<i>INODE</i>
 — номер сообщенного индексного дескриптора, a 
<i>dir_file</i>
 — имя файла "родной" файловой системы, в которую будет записан дамп. Полученный дамп следует загрузить в шестнадцатеричный редактор и просмотреть его содержимое в "сыром" виде. Все имена будут там. При желании можно написать утилиту-фильтр, выводящую только удаленные имена. На Perl это не замет и десяти минут.
А как быть, если родительский каталог тоже удален? В этом случае и он будет помечен как удаленный! Выводим список удаленных индексных дескрипторов, выбираем из этого списка каталоги, формируем перечень принадлежащих им блоков и сохраняем дамп в файл, который затем следует просмотреть вручную или с помощью утилиты-фильтра. Как уже отмечалось, порядок расположения файлов в inode очень часто совпадает с порядком расположения файлов в каталоге, поэтому восстановление оригинальных имен в четырех случаях из пяти проходит на ура.
При тяжких разрушениях, когда восстанавливаемый файл приходится собирать по кусочкам, помогает команда 
dump_unused
, выводящая на терминал все неиспользуемые блоки. Имеет смысл перенаправить вывод в файл, запустить hexedit и покопаться в этой куче хлама — это, по крайней мере, проще, чем искать по всему диску. На дисках, заполненных более, чем на три четверти, этот трюк сокращает массу времени.
Таким образом, можно сделать вывод о том, что отладчик debugfs в значительной мере автоматизирует восстановление удаленных файлов, однако восстановить файл с разрушенным inode он не способен, и без lde в данном случае не обойтись.
Восстановление удаленных файлов с помощью утилиты R-Studio
Утилита R-Studio for NTFS, вопреки своему названию, поддерживает не только NTFS, но и файловые системы ext2fs/ext3fs (рис. 8.7). С точки зрения обычных пользователей, это — хорошее средство для автоматического восстановления удаленных файлов. Утилита предоставляет интуитивно-понятный интерфейс, проста в управлении и в благоприятных ситуациях позволяет восстанавливать удаленные файлы несколькими щелчками мыши. К недостаткам R-Studio for NTFS можно отнести: