国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 系統(tǒng)安全 >

淺談 linux 系統(tǒng)數(shù)據(jù)恢復(fù)

時(shí)間:2014-05-19 15:36來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
程序員的誤操作造成數(shù)據(jù)丟失,忙著一個(gè)星期的項(xiàng)目,就這樣付之東流了。老板的痛斥、經(jīng)理的訓(xùn)斥接踵而來。接下來就是沒休息、加班,甚至忙到凌晨都不能離開那該死的電腦,都有種想死
Tags系統(tǒng)安全(735)Linux(46)系統(tǒng)數(shù)據(jù)(1)  

  程序員的誤操作造成數(shù)據(jù)丟失,忙著一個(gè)星期的項(xiàng)目,就這樣付之東流了。老板的痛斥、經(jīng)理的訓(xùn)斥接踵而來。接下來就是沒休息、加班,甚至忙到凌晨都不能離開那該死的電腦,都有種想死的感覺呢?

  為那些不喜歡備份數(shù)據(jù)的朋友帶來了福音,我們來談?wù)剶?shù)據(jù)恢復(fù),這里我們來手把手地教會你如何利用簡單的工具來恢復(fù)被你刪除的數(shù)據(jù)。

淺談linux系統(tǒng)數(shù)據(jù)恢復(fù)

  工具: hexedit、fdisk

  下文內(nèi)容操作均在root環(huán)境下完成。

  hexedit:

淺談linux系統(tǒng)數(shù)據(jù)恢復(fù)

  在linux上,經(jīng)常會使用hexedit來修改程序的16進(jìn)制代碼。而fdisk這里就不介紹了。

  現(xiàn)在我們走進(jìn)磁盤的世界,看看磁盤它對數(shù)據(jù)做點(diǎn)了什么吧。

  首先,在終端下使用root權(quán)限,來運(yùn)行下命令:

  Command: fdisk -l

data recovery 02

  /dev/sdb1是今天的主角,從圖片很清晰地看到一些相關(guān)數(shù)據(jù),比如磁盤的size,、sector、I/O size等等。

data recovery 03

  磁盤格式為ext4,而非MS上的vfat32和NTFS格式,在文章的結(jié)尾貼上FAT32的圖片。

  第一步:

  運(yùn)行fdisk,使用專家模式,來備份Partition table。

data recovery 04

  ext4的partition table非常簡單,一般備份partition table為ext4.img。備份是為了避免數(shù)據(jù)恢復(fù)中被破壞。

  第二步:

  首先在target sdb1上執(zhí)行剪切的命令操作,把sdb1上的文件移動到電腦硬盤上,執(zhí)行完成后,使用hexedit 來打開sdb1。

  被剪切的文件名:usb.png

  Command : hexedit -s /dev/sdb1

data recovery 05

  圖片中可以看到文件名和它所在的sector, 是不是發(fā)現(xiàn)了圖片的設(shè)備是sdc1?由于磁盤的自動掛載發(fā)生了dev的改變,而數(shù)據(jù)是不會隨著磁盤的dev變化而變化的。這里已經(jīng)找到了文件名的所在,接下來,需要找到文件header。

  如何找到文件頭呢? 可以利用hexedit進(jìn)行hex search,如果是要著ASCII,可以按下TAB切換到ASCII區(qū)域。

data recovery 06

  文件的大小決定了文件在磁盤中所占用的sector 數(shù),1 sector==512 bytes。在圖中,顯示了文件header offset和sector。

  提取hex值,寫入文件。

data recovery 07

  恢復(fù)后的圖片:

data recovery 08

  上看著很簡單吧,它只是單文件的剪切操作與數(shù)據(jù)恢復(fù)。這里提醒下各位:磁盤中保存的數(shù)據(jù),不是刪除了可以恢復(fù),被剪切掉的數(shù)據(jù)一樣可恢復(fù)。

  下面我們來看看從磁盤刪除數(shù)據(jù)后,如何來操作呢?

  在磁盤上執(zhí)行delete命令來刪除一個(gè)名為1.gif的文件,操作如下:

data recovery 09

data recovery 10

data recovery 11

  圖片可以看到文件header到文件end的sector 的變化,header sector: 264056 , end sector: 264057,文件大小在1K, 圖片很小。

  創(chuàng)建個(gè)新文件,然后再執(zhí)行delete操作,看看磁盤數(shù)據(jù)變化。

data recovery 12

data recovery 13

data recovery 14

  文件header sector : 264056, end sector: 264061 , 第一次執(zhí)行刪除的文件header sector: 264056 ,end sector : 264057, 這樣可以看到第一次刪除的數(shù)據(jù)被覆蓋掉,而保留了第二此刪除的數(shù)據(jù)。

  這里操作是對磁盤單一文件進(jìn)行數(shù)據(jù)恢復(fù)和其磁盤中的數(shù)據(jù)變化進(jìn)行論證。接下來我們來看看雙文件的操作。

data recovery 15

  磁盤中存在兩個(gè)不同類型的文件。

  文件名:partition.zip

  文件名:cab.ico

data recovery 16

data recovery 17

  第一個(gè)文件的header secotor:264056,end sector:264058

data recovery 18

淺談linux系統(tǒng)數(shù)據(jù)恢復(fù)

  第二個(gè)文件header sector:264064,end sector:264076。發(fā)現(xiàn)第一個(gè)文件的end sector與第二個(gè)文件的header sector相差多個(gè)sector,那么中間的差值是什么呢?

data recovery 20

  可以看到中間的差值全部以00填充。到這里我們來總結(jié)下這次在linux上的實(shí)踐操作:

  ext4 file system

  執(zhí)行 剪貼

  file name : usb.png sector 67120

  file header : sector 264064 file end: sector 264076

  執(zhí)行 刪除

  file name : 1.gif sector 67112 (覆蓋)

  file header: start : sector 264056 end: sector 264057 (覆蓋)

  file name: 56.jpg sector 67112

  file header:start: sector 264056 end: sector 264061

  當(dāng)單文件時(shí),執(zhí)行刪除時(shí),覆蓋上一次被刪除的數(shù)據(jù)。

  儲存文件

  (1) file name : partition.zip sector 67112

  file header: start sector 264056 end sector 264058

  (2) file name : cab.ico sector 67112

  file header: start sector 264064 end sector: 264068

  剪切區(qū):sector 264064

  刪除區(qū): sector 264056

  儲存區(qū):與刪除區(qū)共存

  儲存區(qū): 當(dāng)單文件時(shí),儲存文件覆蓋刪除區(qū)數(shù)據(jù)。

  數(shù)據(jù)恢復(fù):當(dāng)多文件時(shí),執(zhí)行刪除時(shí),刪除區(qū)保留數(shù)據(jù)hex,如果建立新文件數(shù)據(jù)時(shí),將覆蓋被刪除數(shù)據(jù)hex。

  附圖:

  FAT32磁盤格式圖:

data recovery 21

data recovery 22

data recovery 23

------分隔線----------------------------

推薦內(nèi)容