我试图从rootkit病毒修复mbr时,需要从我使用testdisk的数据硬盘中恢复数据

在我开始说出我的情况之前,请知道对于任何可以帮助我解决这个烂摊子的人来说,我将永远感激不尽。 我这里有多年辛苦工作的照片。 我是半专业摄影师,我的硬盘包含大约1.5 TB的照片数据。 再加上100GB的整个音乐库,以及我所有的dvd,我都花时间去看我的硬盘。 但我的照片是我最关心的,它们不可更换。

现在简要介绍一下:我总是使用backblaze备份我的数据,backblaze是windows的在线备份。 我决定大约3个月前我想让服务器使用plex来查找我的文件并决定unbuntu是最好的方法。 因此,我正在使用这种备份方法,使用一种称为“灰洞”的东西,并在设置(2)2TB硬盘和(1)1 TB硬盘驱动器的过程中使用这个灰洞备份程序。

那是我拿到rootkit的时候。 这件事很讨厌,我想在经历了2个月的尝试后,我不得不重新刷新我的BIOS并且仍然有这种病毒。 我不得不重新格式化我的所有硬盘驱动器并将所有内容支持到1个硬盘驱动器几乎完全填满(2 TB硬盘驱动器)。 我仍然没有摆脱这种病毒,这是不可思议的。 最终我抓住了它。 它嵌入在我的网络以太网卡中。 任何阅读此内容的人都应该注意,嵌入其中的任何东西都可以并且会感染您的路由器,所有局域网,并且即使通过重新刷新BIOS本身也可以保留在您的计算机上!

无论如何,在我似乎摆脱了我仍然在我的硬盘驱动器上的文件。 我不想重新validation我的机器,所以我尝试使用名为testdisk的实用程序重新编写MBR。

大错

我不知道我在做什么。 而现在我无法阅读我的信息!

这是好消息吗? 在测试盘完成之后(包括我分析驱动器,并使用WRITE命令进行损坏,它只需要1秒钟就可以完成。意思是 – 我没有经历5小时写0的过程在驱动器上用“dd”。这是我做的一件小事。因此我认为数据仍然必须在驱动器上。

这就是我所知道的:

  • 驱动器是数据驱动器,没有操作系统。 我在另一个驱动器上使用ubuntu作为操作系统。
  • 格式为ext3或ext4
  • 大小= 2 TB
  • files =无法替代,我的整个生命都在工作 – 没有任何夸张。

此外 – backblaze不再有我的文件,因为它已超过30天。 由于rootkit,我已用0写了所有备份备份。 这个硬盘驱动器曾经是并且是发生这种情况时我文件的唯一来源。 巧合的是,这是我多年来一直没有备份的唯一一次。

这是fdisk -l的复制/粘贴 

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes 255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disk identifier: 0x0006a14b Device Boot Start End Blocks Id System /dev/sda1 * 63 3907024064 1953512001 83 Linux Partition 1 does not start on physical sector boundary.

并且lshw 

 *-scsi:0 physical id: 2 logical name: scsi2 capabilities: emulated *-cdrom description: DVD writer physical id: 0.0.0 bus info: scsi@2:0.0.0 logical name: /dev/cdrom logical name: /dev/sr0 capabilities: audio cd-r cd-rw dvd dvd-r configuration: signature=643a3365 status=ready *-disk description: ATA Disk product: ST2000DM001-1CH1 vendor: Seagate physical id: 0.1.0 bus info: scsi@2:0.1.0 logical name: /dev/sda version: CC24 serial: W1E2L5K7 size: 1863GiB (2TB) capabilities: partitioned partitioned:dos configuration: ansiversion=5 sectorsize=4096 signature=0006a14b *-volume description: EXT3 volume vendor: Linux physical id: 1 bus info: scsi@2:0.1.0,1 logical name: /dev/sda1 version: 1.0 serial: 05ea2f85-06fd-446c-a885-30614d53630c size: 1863GiB capacity: 1863GiB capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

请帮忙我该怎么办? 我害怕再用testdisk搞砸了。 我只想恢复文件。 我看不出它们是怎么消失的。

非常感谢-

要从外部USB驱动器上的映像恢复数据,需要执行以下步骤:

  1. 停止使用损坏的驱动器。
  2. 准备好一个外置驱动器,保持两倍于损坏的驱动器大小的数据量。 使用filesytem进行格式化,可以保存从原始驱动器创建的大文件(例如ext4)
  3. 从实时会话启动Ubuntu( “尝试Ubuntu” )。
  4. 使用Nautilus安装外部驱动器。
  5. validation外部驱动器的安装点。
    例如,使用属性 – >右键菜单上的位置。

  6. 使用终端中的任何命令validation损坏的驱动器的位置 

     sudo fdisk -l sudo blkid

  7. 创建损坏的驱动器的图像 

     sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd

    sdX替换为损坏的驱动器(例如sda )或分区(例如sda1 )。 将/mountpoint/DRIVENAME/替换为安装USB驱动器的实际路径。

    只有在损坏的驱动器( sdY )等于外部驱动器( sdY )的大小的情况下才能克隆驱动器( sudo dd if=/dev/sdX of=/dev/sdY )以对克隆驱动器执行数据挽救外部驱动器。 尽管如此,如上所示处理图像是一种更安全的方法。

    在这一点上,正确获取dd命令至关重要。 如果你给错了条目of=你可能会损坏那里存在的所有数据。

  8. 在您的实时系统上安装TestDisk,我在下面的回答中进一步阐述:

    • 安装Ubuntu后如何恢复意外丢失的Windows分区?

  9. 阅读TestDisk制造商的精彩而简洁的指南,以便恢复。

  10. 如果您的驱动器很大,请安装另一个驱动器/分区以保存恢复的数据。 请注意testdisk的此挂载点。

  11. 运行testdisk 安装testdisk 在您的驱动器的图像上: 

     cd /mountpoint/DRIVENAME/ sudo testdisk rescue.dd
  12. 将恢复的目录和文件保存到备份驱动器/分区(将testdisk的挂载点作为存储位置提供给testdisk,以防它与映像的位置不同)。
  13. validation您的数据是否存在。
  14. 卸载所有驱动器或关闭实时会话。

如果我们没有成功恢复我们的文件,我们也可以运行PhotoRec ,它与TestDisk套件一起安装以恢复单个文件(但随后文件名权限,目录将丢失)。

您损坏的驱动器仍未受影响。 如果我们上述步骤失败,我们甚至可以通过专业服务恢复此驱动器。

我相信,除其他事项外,testdisk应该作为恢复数据的工具。 但是,首先 – 在您执行任何其他操作之前,您需要保护最后的数据副本。 首先,只从这里开始只读它。 (您可以使用选项ro重新安装它,请参阅man mount

我建议给自己一个大的(> 2TB)磁盘并复制当前磁盘的完整映像: dd if=/dev/sda of=disk-image.dd其中/ dev / sda是​​你的只读挂载的所有重要磁盘和disk-image.dd是新磁盘上的文件,请确保有2TB空闲。

testdisk也可以处理图像,并且应该能够对分区表进行排序。 回到问题和评论,我们可以从这里拿走它……

一个开始阅读的好地方在这里: http : //epyxforensics.com/node/36在它的步骤中,它首先按照我的建议制作dd副本,然后继续处理副本。

你有自己的测试计算机与testdisk,gparted和也许hexedit安装?

尝试“extundelte”恢复文件

试试Piriform的RecuvaCCleaner的制造商)。 该工具是免费的。 使用v1.51.1063,他们添加了对ext2和ext3文件系统的支持。

该工具将扫描磁盘并尝试恢复已从磁盘中删除的单个文件。 这个工具为我知道的几个人保存了关键数据,他们的业务依赖于他们的数据(即Quickbooks数据),因为他们把所有东西丢失到了严重损坏的磁盘上,或者已经将磁盘格式化了。

我知道Recuva是一个仅适用于Windows和Mac的工具,但该工具现在可以用于典型的Linux文件系统格式,因此我认为这些信息在Ubuntu Q&A网站中非常有用; 特别是作为问题的解决方案(尽管如此,我确信他/她现在已经找到了解决方案)。

Interesting Posts

丢失分区数据

如何从Ext4分区恢复数据?

如何恢复部分删除的ubuntu-desktop组件?

我可以从/ dev / null恢复文件吗?

dumpe2fs没有找到任何超级块

用Ubuntu替换Windows后,如何恢复数据?

没有完整网络配置的引导系统

从坏扇区的NTFS驱动器恢复文件

如何将SSH密钥添加到authorized_keys文件?

完全删除ubuntu-desktop后,Lubuntu将不再启动