TestDisk Krok po kroku

From CGSecurity
Jump to navigation Jump to search

En.png English Cn.png 中文 De.png Deutsch Es.png Español Fr.png Français Ir.png فارسی It.png Italiano Pl.png Polski Ro.png Română Ru.png Русский


W tym przykładzie krok po kroku pokazane zostanie zastosowanie TestDisk do odzyskania utraconej i naprawy uszkodzonej partycji. Po przeczytaniu tego tutorial będziesz mógł odzyskać swoje dane. Tłumaczenie instrukcji użytkowania TestDisk na inne języki są mile widziane.

Opis przykładu

Na dysku o pojemności 36GB utworzone są 3 partycje. Niestety;

  • sektor rozruchowy głównej partycji NTFS został zniszczony, a
  • logiczna partycja NTFS została omyłkowo skasowana.

W tym przykładzie krok po kroku pokazane zostanie zastosowanie TestDisk do odzyskania tych 'utraconych' partycji przez:

  • odtworzenie zniszczonego sektora rozruchowego NTFS, oraz
  • odzyskanie omyłkowo skasowanej logicznej partycji NTFS.

Partycję FAT32 (zamiast partycji NTFS) można odzyskać postępując w ten sam sposób. Inne przykłady odzyskania są również dostępne. W Running the TestDisk Program znajdziesz informacje dotyczące FAT12, FAT16, ext2/ext3, HFS+, ReiserFS oraz innych typów partycji.

Warunek konieczny:

  • TestDisk musi zostać uruchomiony z uprawnieniami administratora.

Istotne uwagi dotyczący używania TestDisk:

  • Do nawigacji w TestDisk używaj klawiszy Strzałek oraz PageUp/PageDown.
  • Do kontynuacji potwierdzaj swój wybór/wybory za pomocą klawisza Enter.
  • Do powrotu do poprzedniego ekranu lub do wyjścia z TestDisk używaj klawisza q (Quit).
  • Do zapamiętania zmian w TestDisk konieczne jest potwierdzenie ich za pomocą klawiszy y (Yes) i Enter, oraz
  • Do zapisania danych partycji w głównym rekordzie rozruchowym MBR, musisz wybrać opcję "Write" i nacisnąć klawisz Enter.

Objawy

Jeśli partycja podstawowa przykładowego dysku zawierała system operacyjny, to przypuszczalnie nie uruchamia się on z powodu uszkodzonego sektora rozruchowego. Jeśli dysk był drugim napędem (dane) lub jeśli możliwe jest podłączenie go do innego komputera wykorzystującą drugi kanał (slave, zwykle napęd CD/DVD jest dołączany w ten sposób), to możliwa jest obserwacja następujących objawów:

  1. Eksplorator Windows or Zarządca Dysków wyświetla pierwszą partycję podstawową jako raw (niesformatowa) a Windows proponuje: Dysk nie jest sformatowany, czy chcesz sformatować go teraz?
    [Nigdy nie powinieneś tego zrobić bez dobrego powodu!]
  2. Partycja logiczna jest utracona. W Eksploratorze Windows nie pojawia się partycja logiczna. Konsola Zarządcy Dysków Windows wyświetla "niezaalokowaną przestrzeń" w miejscu, w którym znajdowała się partycja logiczna.

Uruchamianie oprogramowania TestDisk

Jeśli TestDisk nie został jeszcze zainstalowany, to można go pobrać z TestDisk Download. Rozpakuj pliki z archiwum łącznie z podkatalogami.

Aby odzyskać utraconą partycję lub naprawić system plików na dysku twardym, pendrive USB, Karcie Inteligentnej i in. niezbędne jest posiadanie stosownych praw dostępu do urządzenia fizycznego.

  • Dos.png W DOS, uruchom TestDisk.exe
  • Win.png W Windows, uruchom TestDisk (tzn. testdisk-6.13/testdisk_win.exe) korzystają z konta przypisanego do grupy Administratorów. Pod Vistą,

kliknij prawym klawisze testdisk_win.exe i "Uruchomon jako administrator" aby wystartować TestDisk.

  • Linux.png W Unix/Linux/BSD, potrzebne są uprawienia użytkownikiem root do uruchomienia TestDisk (ie. sudo testdisk-6.13/testdisk_static)
  • Macosx.png W MacOSX, jeśli nie jesteś użytkownikiem root, TestDisk (ie testdisk-6.13/testdisk) uruchomi się korzustając z sudo po potwierdzenie ze strony użytkownika.
  • Os2.png W OS/2, TestDisk nie obsługuje urządzeń fizycznych, a wyłączenie obrazy dysków. Przepraszamy.

Aby odzyskać partycję z obrazu nośnika lub naprawić obraz systemu plików, uruchom

  • testdisk image.dd aby pracować na surowym obrazie dysku,
  • testdisk image.E01 aby odzyskać pliki z obrazu Encase EWF, lub
  • testdisk 'image.???' jeśli obraz Encase jest podzielony na wiele plików.

Linux.png Macosx.png Aby naprawić system plików, który nie jest wprost obsługiwany przez TestDisk, uruchom testdisk device, tzn.

  • testdisk /dev/mapper/truecrypt0 lub testdisk /dev/loop0 aby naprawić pliki z sektorami rozruchowymi NTFS or FAT32z znajdującymi się na partycji TrueCrypt. Ta sama metoda zadziała dla systemów plików zaszyfrowanych za pomocą cryptsetup/dm-crypt/LUKS.
  • testdisk /dev/md0 aby naprawić system plików umieszczony w Linuksie na macierzy RAID.

Tworzenie dziennika zdarzeń

menu create
  • Wybierz Create aby zlecić Testdisk utworzenie dziennika zdarzeń zawierającego informacje i komunikaty techniczne chyba, że są powody do dodawania dodanych do istniejącego dziennika zdarzeń lub TestDisk uruchamianych jest z nośnika tylko do odczytu i konieczne jest utworzenie dziennika zdarzeń w innym miejscu.
  • Wybierz None jeśli zbędne jest zapisywania komunikatów i szczegółów procesów do dziennika zdarzeń (przydatne na przykład jeśli Testdisk został uruchomiony z miejsca tylko do odczytu).
  • Naciśnij Enter by kontynuować.

Wybór dysku

TestDisk powinien wykryć wszystkie dyski twarde i wyświetlić je wraz z poprawnym rozmiarem:

disk selection
  • Wybierz za pomocą klawiszy strzełek up/down dysk z utraconymi partycjami.
  • Naciśnij Enter by kontynuować.

Macosx.png Jeśli to możliwe, to należy używać surowych urządzeń /dev/rdisk* zamiast /dev/disk* aby przyśpieszyć transfery danych.

Wybór typu tablicy partycji

TestDisk wyświetla typy tablic partycji.

menu partition table type
  • Wybierz typ tablicy partycji - zwykle wartość domyślna jest poprawna, bowiem TestDisk automatycznie wykrywa typ tablicy partycji.
  • Naciśnij Enter by kontynuować.

Status bieżącej tablicy partycji

TestDisk wyświetla następujące menu (zobacz też TestDisk Menu Items).

menus
  • Wykorzystaj domyślną opcję menu "Analyse" do sprawdzenia struktury bieżącej tablicy part oraz poszukiwania zagubionych partycji.
  • Potwierdź wybór opcji Analisy za pomocą Enter.

Po wyborze, wyświetlona zostaje struktura bieżących partycji. Sprawdź strukturę bieżących partycji pod kątem błędów i brakujących partycji.

Analyse

Dwukrotne wyświetlenie pierwszek partycji wskazuje na uszkodzeną partycję lub niepoprawny rekord tablicy partycji.
Niepoprawny początek NTFS wskazuje na uszkodzone sektor rozruchowy NTFS, zatem system plików jest uszkodzony.
Jedyna partycja logiczna (etykieta Partition 2) jest dostępna w obrębie partycji rozszerzonej. Brak jest jednej partycji logicznej.

  • Wybierz Quick Search by kontunuować.

Szybkie wyszukiwanie partycji (Quick Search)

TestDisk wyświetla wyniki wyszukiwaniana bieżąco.
quick search
 (kliknij na miniaturę, aby wyświetlić obraz).

Podczas szybkiego wyszukiwania ( Quick Search), TestDisk wykrył dwie partycję, w tym utraconą partycję logiczną oznaczoną etykietą Partition 3.

first results
  • Należy podświetlić tą partycję i nacisnąć p, aby wyświetlić listę plików (do powrotu do poprzedniego ekranu służy klawisz q, pliki wyświetlone na czerwono są usunięte).

Wszystkie katalogi i dane są poprawnie wyświetlone.

  • Naciśnij Enter, by kontynuować.

Zapisać tablicę partycji czy szukać tablicy dodatkowych?

menu search!
  • Jeśli wszystkie partycje zostały odnalezione a dane wyświetlane są poprawnie, należy w menu wybrać pozycję Write aby zapisać strukturę partycji. Opcja menu Extd Part umożliwia określenie, czy partycja rozszerzona wykorzysta całą dostępną czy też tylko wymaganą (minimalną) przestrzeń dyskową.
  • Z uwagi na to, że pierwsza poszukiwana partycja nie została odnaleziona, należy przeprowadzić pogłębione wyszukiwanie za pomocą komendy Deeper Search (jeśli nie została automatycznie uruchomiona) i nacisnąć Enter, aby kontynuować.

Partycji ciągle nie ma: poszukiwanie pogłębione (Deeper Search)

Komenda Deeper Search wykywa dodatkowe partycje szukając zapasowego sektora rozruchowego FAT32, zapasowego super-bloku NTFS i zapasowego super-bloku ext2/ext3

i skanują każdy cylinder
quick search
 (kliknij na miniaturkę).

Po wykonaniu komendy, wyniki wyszukiwania wyświetlane są następująco:
Pierwsza partycja "Partition 1" zostałą wykryta na podstawie zapasowego sektora rozruchowego. W ostatnie linii ekranu można przeczytać komunikat "NTFS found using backup sector!" ("Odnaleziono NTFS uzywając zapasowy sektor rozruchowy") wraz z rozmiarem partycji. Partycja "partition 2" wyświetlona jest dwukrotnie z różnymi rozmiarami.
Partycja oznaczone literką D(eleted) nie zostaną odtworzone jeśli ich oznaczenie nie zostanie zmienione. Obydwie partycje oznaczone są statusem D (deleted), ponieważ nachodzą na siebie. Należy wybrać która z partycji zostanie odzyskana.

results deeper search!
  • Podświetlić pierwszą partycję Partition 2 i nacisnąć p aby wyświetlić jej zawartość.
System plików górnej partycji logicznej (etykieta Partition 2) jest uszkodzony.
damaged file system
 (kliknij na miniaturkę).
  • Nacisnąć q do powrotu do poprzedniego ekranu.
  • Niech partycja Partition 2 ze zniszczonym systemem plików pozostanie oznaczona jako D(deleted).
  • Podświetlić drugą partycję Partition 2 poniżej
  • Wybrać p do wyświetlenia jej plikóœ.
list files

To działa, wyświetlone zostały właściwe pliki, czyli poszukiwana partycja zostałą odnaleziona!

  • Używać lewej/prawej strzałki to nawigacji pomiędzy katalogami i obserwować plików celem dodatkowej weryfikacji

Uwaga: Wyświetlanie katalogu FAT ograniczone jest do 10 klustrów - niektóre pliki mogą nie zostać wyświetlone, ale nie wpł←wa to na wyniki odzyskiwania.

  • Nacisnąć q by powróć do poprzedniego ekranu.
  • Dopuszczalnymi statusami są Primary (podstawowa), * bootable (rozruchowa), Logical (logiczna) i Deleted (usunięta).

Używając klawiszy lewej/prawej strzałki zmienić status wybranej partycji z D(eleted) na L(ogical), aby dopuścić odzyskanie partycji.

set partition to recover

Wskazówka: Przeczytaj Jako rozpoznać partycje podstawowe albo logiczne?
Uwaga: Jeśli partycjia oznaczona jest jako *(bootable), ale nie należy uruchamiać systemu z tej partycji,to status partycji można zmienić na Primary partition.

  • Nacisnąć Enter, by kontynuować.

Odtworzenie tablicy partycji

Teraz możliwe jest już zapisanie nowej struktury partycji
Uwaga: Partycja rozszerzona jest tworzona automatycznie. TestDisk rozpoznaje wykorzystująć inną strukturę partycji.

menu write
  • Jeśli, i tylko w tym przypadku, gdy wszystkie partycje są wyświetlona, potwierdź wybór komendy Write za pomocą , y i OK.

Od tej chwili, partycji są zapisane w tablicy partycji.

Odtwarzanie sektora rozruchowego NTFS

Sektor rozruchowy pierwszej partycji nazwanej Partition 1 jest jeszcze uszkodzony. Najwyższy czas, aby go naprawić. Status sektora rozruchowego NTFS jest nieporawny, natomiast status zapasowego sektora rozruchowego jest poprawny. Sektory rozurchowe nie są identyczne.

backup bs
  • Aby odtworzyć sektor rozruchowy a sektora zapasowego, należy wybrać komendęBackup BS, potwierdzić ją za pomocą Enter, użyć y do potwierdzenia, a następnie OK.

Więcej informacji o naprawianiu sektora rozruchowego można znaleźć w TestDisk Menu Items. Wyświetlona zostanie następujące informacji:

after backup bs

Sektor rozruchowy i jego kopia są teraz OK i identyczne: sektor rozruchowy NTFS został odtworzony z sukcesem.

  • Naciśniej Enter, aby wyjść.
reboot
  • TestDisk wyświetla Musisz zrestartować swój komputer, aby odzyskać dostęp do danych, więc naciśnij Enter po raz ostani i uruchom ponownie komputer.

Odtwarzanie usuniętych plików

TestDisk może odzyskać

Jeśli to nie zadziała dla innych systemów plików, można spróbować PhotoRec, który jest narzędziem odzyskiwania bazującym na sygnaturach.

Powrót głównej strony TestDisk

Donation
Prosimy Ciebie o wsparcie projektu
twoją Donation.

Retrieved from "https://www.cgsecurity.org/mw/index.php?title=TestDisk_Krok_po_kroku&oldid=8235"