Avant de commencer à dire quelle est ma situation ici, sachez que je serais à jamais reconnaissant envers quiconque pourrait m'aider avec ce gâchis. J'ai des photos ici des années et des années de travail laborieux. Je suis un photographe semi-professionnel et mon disque dur contient environ 1,5 TB de données à partir de photos. Plus 100 Go de ma bibliothèque musicale complète, et tous mes DVD, j'ai pris le temps de me connecter à mon disque dur. Mais mes photos sont ce qui me préoccupe le plus, elles ne sont pas remplaçables.
Voici maintenant ce qui s’est passé: j’ai toujours eu une sauvegarde de mes données en utilisant backblaze, qui est une sauvegarde en ligne de Windows. J'ai décidé il y a environ 3 mois que je voulais installer un serveur pour mes fichiers en utilisant plex et j'ai décidé que unbuntu était la meilleure solution. J'utilisais donc cette méthode de sauvegarde en utilisant quelque chose appelé "greyhole" et en train de configurer (2) disques durs de 2 To et (1) 1 TB disque dur sur ce programme de sauvegarde de greyhole.
C'est alors que j'ai eu un rootkit. Cette chose était méchante et je pense qu'après 2 mois d'essayer tout, je devais reflasher mon bios et STILL avait ce virus. Je devais reformater tous mes disques durs et sauvegarder tout sur un disque dur qui le remplissait presque entièrement (un disque dur 2 TB). Je ne me suis toujours pas débarrassé de ce virus, c'était incroyable. Finalement, je l'ai attrapé. Il était intégré à ma carte Ethernet réseau. Tous ceux qui liront ceci devraient savoir que tout ce qui est intégré peut infecter votre routeur, tout votre réseau local, et rester sur votre ordinateur même après la réinitialisation du BIOS!
Quoi qu'il en soit, après avoir semblé me débarrasser de la chose, mes fichiers étaient toujours sur mon disque dur. Je ne voulais pas réinfecter mes machines, j'ai donc essayé de réécrire le MBR à l'aide d'un utilitaire appelé testdisk.
GROSSE ERREUR
Je n'avais aucune idée de ce que je faisais. Et maintenant je ne peux pas lire mes informations!
Voici la bonne nouvelle? Après que testdisk ait fait son travail (qui consistait à analyser le lecteur et à utiliser la commande WRITE pour faire le mal, cela ne prenait qu’une seconde.) Ce qui signifie que je n’ai pas passé 5 heures à écrire les 0 sur le lecteur avec "dd". C’était une petite chose rapide que je faisais. C’est pour cette raison que je pense que les données doivent encore être sur le lecteur.
Voici ce que je sais:
Aussi - backblaze n'a plus mes fichiers parce que ça fait plus de 30 jours. J'ai écrasé toutes mes autres sauvegardes avec des 0 à cause du rootkit. Ce disque dur était et est la seule source de mes fichiers au moment où cela s’est produit. Par coïncidence, c’est la seule fois où je suis sans sauvegarde depuis de nombreuses années.
Voici un copier/coller de fdisk -l
Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b
Device Boot Start End Blocks Id System
/dev/sda1 * 63 3907024064 1953512001 83 Linux
Partition 1 does not start on physical sector boundary.
Et lshw
*-scsi:0
physical id: 2
logical name: scsi2
capabilities: emulated
*-cdrom
description: DVD writer
physical id: 0.0.0
bus info: scsi@2:0.0.0
logical name: /dev/cdrom
logical name: /dev/sr0
capabilities: audio cd-r cd-rw dvd dvd-r
configuration: signature=643a3365 status=ready
*-disk
description: ATA Disk
product: ST2000DM001-1CH1
vendor: Seagate
physical id: 0.1.0
bus info: scsi@2:0.1.0
logical name: /dev/sda
version: CC24
serial: W1E2L5K7
size: 1863GiB (2TB)
capabilities: partitioned partitioned:dos
configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
*-volume
description: EXT3 volume
vendor: Linux
physical id: 1
bus info: scsi@2:0.1.0,1
logical name: /dev/sda1
version: 1.0
serial: 05ea2f85-06fd-446c-a885-30614d53630c
size: 1863GiB
capacity: 1863GiB
capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean
S'il vous plaît aider que puis-je faire? J'ai peur de tout gâcher de nouveau avec testdisk. Je veux juste récupérer les fichiers. Je ne vois pas comment ils sont partis.
Merci beaucoup-
Pour récupérer les données d'une image sur un lecteur USB externe, procédez comme suit:
Vérifiez l'emplacement de votre lecteur endommagé avec l'une de ces commandes dans un terminal
Sudo fdisk -l
Sudo blkid
Créez une image de votre disque endommagé
Sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
Remplacez sdX
par votre lecteur endommagé (par exemple sda
) ou votre partition (par exemple sda1
). Remplacez /mountpoint/DRIVENAME/
par le chemin d'accès réel où votre clé USB a été montée.
uniquement dans le cas où votre lecteur est endommagé (sdX
) est égale à la taille de votre lecteur externe (sdY
), vous pouvez cloner le lecteur (Sudo dd if=/dev/sdX of=/dev/sdY
) pour effectuer la récupération de données sur un lecteur externe cloné. Néanmoins, travailler sur une image comme indiqué ci-dessus est une approche beaucoup plus sûre.
À ce stade, il est essentiel d’obtenir la commande
dd
correctement. Si vous avez mal entréof=
, vous risquez d'endommager toutes les données qui y existaient.
Installez TestDisk sur votre système en ligne comme cela a été détaillé dans ma réponse ci-dessous:
Lisez le guide impressionnant et concis des concepteurs de TestDisk pour le récupérer.
Exécuter testdisk sur l'image de votre lecteur:
cd /mountpoint/DRIVENAME/
Sudo testdisk rescue.dd
Si nous n'avons pas réussi à récupérer nos fichiers, nous pouvons également exécuter PhotoRec qui a été installé avec la suite TestDisk pour récupérer des fichiers individuels (mais les autorisations de noms de fichiers et les répertoires seront perdus).
Votre disque endommagé est toujours intact. Nous pouvons même laisser ce disque être récupéré par un service professionnel au cas où nous échouions avec les étapes ci-dessus.
Je crois que, entre autres choses, testdisk devrait fonctionner comme un outil pour récupérer vos données. Cependant, avant tout, avant de faire quoi que ce soit, vous devez conserver votre dernière copie des données. Premièrement, montez-le seulement en lecture seule à partir d’ici. (Vous pouvez le remonter avec l'option ro, voir man mount
)
Je suggère de vous procurer un disque volumineux (> 2 To) et de copier une image complète de votre disque actuel au-dessus de: dd if=/dev/sda of=disk-image.dd
où/dev/sda est votre lecteur en lecture seule monté; tous les disques importants et disk-image.dd est un fichier sur le nouveau disque, assurez-vous que 2 To sont libres.
testdisk fonctionnera également sur une image et devrait pouvoir trier la table de partition. Revenir avec des questions et des commentaires et nous pouvons prendre à partir d'ici ...
Un bon endroit pour commencer à lire est ici: http://epyxforensics.com/node/36 Dans son parcours, il commence par faire une copie conforme comme je l’ai suggéré ci-dessus et continue à travailler sur la copie.
Avez-vous installé un ordinateur d’examen avec testdisk, gparted et peut-être hexedit?