TRK - წაშლილი ფაილების აღდგენა

ამ პოსტში განვიხილავ რამდენიმე გზას წაშლილი ფაილების აღსადგენად, TRK-ის საშუალებით.

1.Ntfsundeleteall

Ntfsundeleteall მარტივი სკრიპტია, რომელიც იყენებს Ntfsundelete-ს.

ეს უტილიტი ეძებს წაშლილ ფაილებს NTFS პარტიციაზე და ცდილობს მათ აღდგენას. პროგრამა ეძებს ფაილების კვალს ntfs პარტიციის მთავარ ცხრილში და ამოწმებს, ისევ არსებობს ფაილი დისკზე თუ არა. უტილიტი აღადგენს ფაილებს თავიანთი ძველი სახელებით, მაგრამ განსხვავებული მისამართით დისკზე. ერთი სახელის მქონე ფაილების თავზე გადაწერას თავი რომ ავარიდოთ, ამისათვის ავტორმა დაწერა სკრიპტი, რომელიც ყოველ აღდგენილ ფალზე მოგცემთ განსხვავებულ სახელს, რომელიც შემდგომში შეგიძლიათ შეცვალოთ.

1.1 სკრიპტის მუშაობის პრინციპი

მაგალითისთვის ვთქვათ, რომ გვაქვს  /dev/hda1, ntfs ტიპის პარტიცია, რომლიდანაც გვსურს აღვაგდინოთ ფაილები.

პირველ რიგში გადავამოწმოთ, რომ პარტიცია დამონტაჟებული არაა.

ამის შემდეგ მოამზადეთ ადგილი, სადაც ჩაიწერება აღდგენილი ფაილები. Ntfsundeleteall-ით აღდგენილი ფაილები არასდროს არ ჩაიწერება იმავე მყარ დისკზე, რადგან შეიძლება უბრალოდ გადააწეროთ ფაილებს, რომლების აღდგენაც გსურთ შემდეგში. მოდი მაგალითისთვის ჩავთვალოთ, რომ გვაქვს თავისუფალი მეხსიერება, რომელიმე ქსელში გაზიარებულ ინფორმაციის მატარებელზე. დავამონტაჟოთ ეს ინფორმაციის მატარებელი, რომელის IP-ა: 10.0.0.5; სისტემის მომხმარებლის სახელი administrator და პაროლი mypassword, /mnt0 დირექტორიაში. ამისათვის:

# ~> mount -o username=administrator,password=mypassword //10.0.0.5/c$ /mnt0

*თუ მომხმარებლის სახელი და პაროლი სისტემაზე არ გაქვთ მაშინ უბრალოდ გამოტოვეთ ეს ორი პარამეტრი. ამის შემდეგ შევქმნათ /mnt0/recovered დირექტორია:

# ~> mkdir /mnt0/recovered

ასეთია ntfsundeleteall-ის ბრძანების სინტაქსი:

# ~> ntfsundeleteall Device Savedir [minimum percentage] --force

ანუ ამ მაგალითისთვის:

# ~> ntfsundeleteall /dev/hda1 /mnt0/recovered

ზედა ბრძანება აღადგენს ყველა ფაილს რომელსაც პროგრამა იპოვის. იმ შემთხვევაშიც კი როცა ფაილის მხოლოდ 1% აღდგენადი. უმეტეს შემთხვევაში ასეთი ფაილები აღდგენის შემთხვევაში გამოუყენებადია, ამიტომ უმჯობესი იქნება თუ დავამატებს ფაილის აღდგენადობის პროცენტულ მაჩვენებელს. ანუ თუ გვინდა მხოლოდ 100% აღდგენადი ფაილები აღვადგინოთ მაშინ:

# ~> ntfsundeleteall /dev/hda1 /mnt0/recovered 100

ხოო ეხლა რაც შეეხება --force ფარამეტრს. მისი საშუალებით ფაილური სისტემის გადამოწმების საფეხურს გადაახტებით. ანუ თუ ფაილური სისტემა იმ დონეზეა დაზიანებული, რომ მისი სახეობის დადგენაც კი შეუძლებელია ამ პარამეტრის გამოყენება საჭიროა.

2.Photorec

სხვა შემთხვევებში შეგიძლიათ გამოიყენოთ უტელიტი Photorec. მისი საშუალებით შეძლებთ ფაილის აღდგენას ნებისმიერი ფაილური სისტემიდან. სანამ პროგრამას გაუშვებთ მანამდე გადადით ფოლდერში სადაც გინდათ აღდგენილი ფაილების შენახვა. მოდი ამ მაგალითისთვისაც ვთქვათ, რომ გვაქვს თავისუფალი ადგილი ქსელში არსებულ ინფორმაციის მატარებელზე. პირველ რიგში დავამონტაჟოთ მოწყობილობა /mnt0 დირექტორიაში:

# ~> mount //10.0.0.5/c$ /mnt0

ახლა გადავიდეთ /mnt0 დირექტორიაში:

# ~> cd /mnt0

და ბოლოს გავუშვათ პროგრამა:

# ~> photorec

თუ ინტუიცია გკარნახობთ, რომ ფაილური სისტემა დაზიანებულია, სასურველია გაუშვათ chkdsk, ნახოთ რას აღადგენს ის და შედეგის მიხედვით გადაწყვიტოთ გაამართლებს თუ არა  Photorec-ი. არასდროს არ გამოიყენოთ chkdsk როცა მყარი დისკი ფიზიკურად კვდება!!! 

3.Ddrescue

თუ  Photorec-მა ვერაფერი ვერ ქნა მყარ დისკზე არსებული ცუდი სექტორების გამო, მაშინ ცადეთ Ddrescue. ეს პროგრამა გამოიყენება იმ შემთხვევაში თუ მყარ დისკზე ცუდი სექტორებია. თუ სექტორის წაკითხვა შეუძლებელია, პროგრამა მას უბრალოდ გამოტოვებს. მოდი ისევ გვქონდეს თავისუფალი ადგილი რომელიღაც მყარ დისკზე. გავუშვათ ddrescue:

# ~> ddrescue if=/dev/hda1 of=/mnt0/rescued-image.img

ამის შემდეგ შეგიძლიათ დაამონტაჟოთ ეს იმიჯი და იქიდან აღადგინოთ ფაილები რომელიმე მეთოდით. ნებისმიერი იმიჯის დასამონტაჟებლად, ნებისმიერ გნუ/ლინქუს საოპერაციო სისტემაზე:

# ~> mount -o loop /folder/image.img /mnt

---

ამ პოსტის დასაწერად გამოვიყენე:

1. 3.2 Recovering deleted files or files from formatted drives (ntfsundeleteall, photorec)
2. 2.19 Ntfsundeleteall