preciso recuperar dados de um disco rígido de dados em que usei o testdisk na tentativa de reparar o mbr de um vírus rootkit

Antes de começar a dizer qual é a minha situação aqui, saiba que eu seria eternamente grata por qualquer um que possa me ajudar com essa bagunça. Eu tenho fotos aqui de anos e anos de trabalho meticuloso. Sou um fotógrafo semi-profissional e meu disco rígido contém aproximadamente 1,5 TB de dados de fotos. Além de 100 GB de toda a minha biblioteca de músicas, e de todos os meus DVDs, dediquei um tempo para colocar meu disco rígido. Mas minhas fotos são as que mais me preocupam, não são substituíveis.

Agora, aqui está, em resumo, o que aconteceu: eu sempre tive um backup dos meus dados usando o backblaze, que é um backup online do Windows. Decidi há cerca de 3 meses que queria obter um servidor para meus arquivos usando o plex e decidi que o Ubuntu era o melhor caminho a percorrer. Então, eu estava utilizando esse método de backup usando algo chamado "greyhole" e no processo de configuração de (2) discos rígidos de 2 TB e (1) disco rígido de 1 TB neste programa de backup do greyhole.

Foi então que recebi um rootkit. Essa coisa foi desagradável e acho que depois de 2 meses tentando de tudo, tive que atualizar minha bios e AINDA tinha esse vírus. Eu tive que reformatar todos os meus discos rígidos e fiz backup de tudo em um disco rígido, preenchendo-o quase totalmente (um disco rígido de 2 TB). Eu ainda não me livrei deste vírus, foi incrível. Eventualmente eu peguei. Foi incorporado na minha placa de rede Ethernet. Qualquer pessoa que esteja lendo isso deve ter em atenção que tudo o que estiver embutido nele pode e irá infectar o seu roteador, toda a sua LAN e permanecer no computador mesmo com a atualização do BIOS!

De qualquer forma, depois que pareci me livrar da coisa, eu ainda tinha meus arquivos no disco rígido. Como não queria reinfectar minhas máquinas, tentei reescrever o MBR usando um utilitário chamado testdisk.

GRANDE ERRO

Eu não tinha ideia do que estava fazendo. E agora não consigo ler minhas informações!

Aqui está a boa notícia? Depois que testdisk fez isso (que consistia em analisar a unidade e usar o comando WRITE para causar o dano, demorou apenas 1 segundo para que isso fosse feito.) Significado - eu não passei 5 horas escrevendo 0 na unidade com "dd". Foi uma coisinha rápida que fiz. Por esse motivo, acho que os dados ainda precisam estar na unidade.

Aqui está o que eu sei:

• a unidade é uma unidade de dados, sem sistema operacional. Eu usei o ubuntu como sistema operacional em outra unidade.
• formatado como ext3 ou ext4
• tamanho = 2 TB
• arquivos = insubstituíveis, toda a minha vida trabalha - sem exagero.

Além disso, o backblaze não possui mais meus arquivos porque já faz mais de 30 dias. Eu escrevi sobre todos os meus outros backups com 0 devido ao rootkit. Este disco rígido foi e é a única fonte dos meus arquivos no momento em que isso aconteceu. Coincidentemente, esta é a única vez que estive sem um backup por muitos anos.

Aqui está uma cópia / pasta do fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

E lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

Por favor, ajude o que posso fazer? Estou com medo de estragar tudo de novo com testdisk. Eu só quero recuperar os arquivos. Não consigo ver como eles se foram.

Muito obrigado-

Para recuperar dados de uma imagem em uma unidade USB externa, eis as etapas necessárias:

1. Pare de usar a unidade danificada.
2. Tenha uma (s) unidade (s) externa (s) pronta (s) segurando duas vezes a quantidade de dados do tamanho da sua unidade danificada. Formato com um sistema de arquivos capaz de armazenar um arquivo tão grande que será criado a partir da unidade original (por exemplo, ext4)
3. Inicialize o Ubuntu a partir de uma sessão ao vivo ( "Experimente o Ubuntu" ).
4. Monte sua unidade externa usando o Nautilus.
5. Verifique o ponto de montagem da sua unidade externa.
   por exemplo, com Propriedades -> Localização no menu do botão direito.

6. Verifique a localização da sua unidade danificada com qualquer um destes comandos em um terminal

   sudo fdisk -l
   sudo blkid
   

7. Crie uma imagem da sua unidade danificada

   sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
   

   Substitua sdXpor sua unidade danificada (por exemplo sda) ou partição (por exemplo sda1). Substitua /mountpoint/DRIVENAME/pelo caminho real em que sua unidade USB foi montada.

   _{Somente se a sua unidade danificada ( sdX) for igual ao tamanho da sua unidade externa ( sdY), você poderá clonar a unidade ( sudo dd if=/dev/sdX of=/dev/sdY) para executar o resgate de dados em uma unidade externa clonada. Ainda assim, trabalhar em uma imagem como mostrado acima é uma abordagem muito mais segura.}

   É fundamental neste momento obter o ddcomando corretamente. Se você forneceu a entrada incorreta, of=poderá danificar todos os dados existentes.

8. Instale o TestDisk no seu sistema ativo, como foi detalhado na minha resposta abaixo:

   • Como recupero minhas partições do Windows perdidas acidentalmente após a instalação do Ubuntu?

9. Leia o guia impressionante e conciso dos fabricantes do TestDisk para se recuperar.

10. Caso sua unidade seja enorme, monte outra unidade / partição para armazenar os dados recuperados. Observe este ponto de montagem para o testdisk.

11. Execute testdisk na imagem da sua unidade:

    cd /mountpoint/DRIVENAME/
    sudo testdisk rescue.dd
    

12. Salve diretórios e arquivos recuperados em sua unidade / partição de backup (dê ao testdisk o ponto de montagem dessa unidade como local de armazenamento, caso seja diferente de onde está a imagem).
13. Verifique se seus dados estão lá.
14. Desmonte todas as unidades ou encerre a sessão ao vivo.

Caso não tenhamos conseguido recuperar nossos arquivos, também podemos executar o PhotoRec, que foi instalado junto com o conjunto TestDisk para recuperar arquivos individuais (mas as permissões dos nomes de arquivos e os diretórios serão perdidos).

Sua unidade danificada ainda está intacta. Podemos até recuperar essa unidade por um serviço profissional, caso falhemos nas etapas acima.

Acredito que, entre outras coisas, o testdisk deve funcionar como uma ferramenta para recuperar seus dados. No entanto, em primeiro lugar - antes de fazer qualquer outra coisa, você precisa proteger sua última cópia dos dados. Em primeiro lugar, monte-o somente leitura a partir daqui. (Você pode remontar com a opção ro, consulte man mount)

Sugiro que você obtenha um disco grande (> 2 TB) e copie uma imagem completa do seu disco atual: dd if=/dev/sda of=disk-image.ddonde / dev / sda é o seu disco montado somente para leitura, todo o disco importante e disk-image.dd é um arquivo no novo disco, verifique se há 2 TB de espaço livre.

O testdisk também funcionará em uma imagem e deve poder classificar a tabela de partições. Volte com perguntas e comentários e podemos levá-lo daqui ...

Um bom lugar para começar a ler é aqui: http://epyxforensics.com/node/36 Nele, ele começa fazendo uma cópia em dd, como sugeri acima, e continua trabalhando na cópia.

Você possui um computador de exame com testdisk, gparted e talvez hexedit instalado?

Experimente "extundelte" para recuperar seus arquivos

Experimente o Recuva by Piriform (criador do CCleaner ). A ferramenta é gratuita. Com a v1.51.1063, eles adicionaram suporte aos sistemas de arquivos ext2 e ext3.

A ferramenta examinará um disco e tentará recuperar arquivos individuais que foram excluídos do disco. Essa ferramenta salvou dados críticos para algumas pessoas que conheço, cujos negócios dependiam de seus dados (isto é, dados do Quickbooks) depois de terem perdido tudo em um disco fortemente corrompido ou de terem o disco formatado.

Eu sei que o Recuva é uma ferramenta disponível apenas no Windows e Mac, mas a ferramenta agora pode ser usada em formatos típicos de sistema de arquivos Linux, então achei as informações úteis aqui em um site de perguntas e respostas do Ubuntu; particularmente como uma solução para a pergunta (embora eu tenha certeza que ele / ela encontrou uma solução até agora).