web-dev-qa-db-fra.com

besoin de récupérer les données d'un disque dur de données sur lequel j'ai utilisé testdisk pour tenter de réparer un membre d'un virus de rootkit

Avant de commencer à dire quelle est ma situation ici, sachez que je serais à jamais reconnaissant envers quiconque pourrait m'aider avec ce gâchis. J'ai des photos ici des années et des années de travail laborieux. Je suis un photographe semi-professionnel et mon disque dur contient environ 1,5 TB de données à partir de photos. Plus 100 Go de ma bibliothèque musicale complète, et tous mes DVD, j'ai pris le temps de me connecter à mon disque dur. Mais mes photos sont ce qui me préoccupe le plus, elles ne sont pas remplaçables.

Voici maintenant ce qui s’est passé: j’ai toujours eu une sauvegarde de mes données en utilisant backblaze, qui est une sauvegarde en ligne de Windows. J'ai décidé il y a environ 3 mois que je voulais installer un serveur pour mes fichiers en utilisant plex et j'ai décidé que unbuntu était la meilleure solution. J'utilisais donc cette méthode de sauvegarde en utilisant quelque chose appelé "greyhole" et en train de configurer (2) disques durs de 2 To et (1) 1 TB disque dur sur ce programme de sauvegarde de greyhole.

C'est alors que j'ai eu un rootkit. Cette chose était méchante et je pense qu'après 2 mois d'essayer tout, je devais reflasher mon bios et STILL avait ce virus. Je devais reformater tous mes disques durs et sauvegarder tout sur un disque dur qui le remplissait presque entièrement (un disque dur 2 TB). Je ne me suis toujours pas débarrassé de ce virus, c'était incroyable. Finalement, je l'ai attrapé. Il était intégré à ma carte Ethernet réseau. Tous ceux qui liront ceci devraient savoir que tout ce qui est intégré peut infecter votre routeur, tout votre réseau local, et rester sur votre ordinateur même après la réinitialisation du BIOS!

Quoi qu'il en soit, après avoir semblé me ​​débarrasser de la chose, mes fichiers étaient toujours sur mon disque dur. Je ne voulais pas réinfecter mes machines, j'ai donc essayé de réécrire le MBR à l'aide d'un utilitaire appelé testdisk.

GROSSE ERREUR

Je n'avais aucune idée de ce que je faisais. Et maintenant je ne peux pas lire mes informations!

Voici la bonne nouvelle? Après que testdisk ait fait son travail (qui consistait à analyser le lecteur et à utiliser la commande WRITE pour faire le mal, cela ne prenait qu’une seconde.) Ce qui signifie que je n’ai pas passé 5 heures à écrire les 0 sur le lecteur avec "dd". C’était une petite chose rapide que je faisais. C’est pour cette raison que je pense que les données doivent encore être sur le lecteur.

Voici ce que je sais:

  • le lecteur est un lecteur de données, pas de système d'exploitation. J'ai utilisé Ubuntu comme système d'exploitation sur un autre lecteur.
  • formaté en ext3 ou ext4
  • taille = 2 To
  • fichiers = irremplaçable, toute ma vie fonctionne - pas d'exagération.

Aussi - backblaze n'a plus mes fichiers parce que ça fait plus de 30 jours. J'ai écrasé toutes mes autres sauvegardes avec des 0 à cause du rootkit. Ce disque dur était et est la seule source de mes fichiers au moment où cela s’est produit. Par coïncidence, c’est la seule fois où je suis sans sauvegarde depuis de nombreuses années.

Voici un copier/coller de fdisk -l

Disk /dev/sda: 2000.4 GB, 2000398934016 bytes
255 heads, 63 sectors/track, 243201 cylinders, total 3907029168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk identifier: 0x0006a14b

   Device Boot      Start         End      Blocks   Id  System
/dev/sda1   *          63  3907024064  1953512001   83  Linux
Partition 1 does not start on physical sector boundary.

Et lshw

*-scsi:0
          physical id: 2
          logical name: scsi2
          capabilities: emulated
        *-cdrom
             description: DVD writer
             physical id: 0.0.0
             bus info: scsi@2:0.0.0
             logical name: /dev/cdrom
             logical name: /dev/sr0
             capabilities: audio cd-r cd-rw dvd dvd-r
             configuration: signature=643a3365 status=ready
        *-disk
             description: ATA Disk
             product: ST2000DM001-1CH1
             vendor: Seagate
             physical id: 0.1.0
             bus info: scsi@2:0.1.0
             logical name: /dev/sda
             version: CC24
             serial: W1E2L5K7
             size: 1863GiB (2TB)
             capabilities: partitioned partitioned:dos
             configuration: ansiversion=5 sectorsize=4096 signature=0006a14b
           *-volume
                description: EXT3 volume
                vendor: Linux
                physical id: 1
                bus info: scsi@2:0.1.0,1
                logical name: /dev/sda1
                version: 1.0
                serial: 05ea2f85-06fd-446c-a885-30614d53630c
                size: 1863GiB
                capacity: 1863GiB
                capabilities: primary bootable journaled extended_attributes large_files recover ext3 ext2 initialized
                configuration: created=2013-03-27 07:57:02 filesystem=ext3 label=foo modified=2013-03-27 08:11:50 mounted=2013-03-27 08:11:50 state=clean

S'il vous plaît aider que puis-je faire? J'ai peur de tout gâcher de nouveau avec testdisk. Je veux juste récupérer les fichiers. Je ne vois pas comment ils sont partis.

Merci beaucoup-

8
wardr

Pour récupérer les données d'une image sur un lecteur USB externe, procédez comme suit:

  1. Arrêtez d'utiliser le lecteur endommagé.
  2. Préparez un (des) disque (s) externe (s) contenant deux fois la quantité de données correspondant à la taille de votre disque endommagé. Format avec un système de fichiers capable de contenir un fichier aussi volumineux que celui créé à partir du lecteur d'origine (par exemple, ext4)
  3. Démarrez Ubuntu à partir d’une session en direct ( "Essayez Ubuntu" ).
  4. Montez votre disque externe en utilisant Nautilus.
  5. Vérifiez le point de montage de votre lecteur externe.
    , par exemple avec Propriétés -> Emplacement dans le menu contextuel.
  6. Vérifiez l'emplacement de votre lecteur endommagé avec l'une de ces commandes dans un terminal

    Sudo fdisk -l
    Sudo blkid
    
  7. Créez une image de votre disque endommagé

    Sudo dd if=/dev/sdX of=/mountpoint/DRIVENAME/rescue.dd
    

    Remplacez sdX par votre lecteur endommagé (par exemple sda) ou votre partition (par exemple sda1). Remplacez /mountpoint/DRIVENAME/ par le chemin d'accès réel où votre clé USB a été montée.

    uniquement dans le cas où votre lecteur est endommagé (sdX) est égale à la taille de votre lecteur externe (sdY), vous pouvez cloner le lecteur (Sudo dd if=/dev/sdX of=/dev/sdY) pour effectuer la récupération de données sur un lecteur externe cloné. Néanmoins, travailler sur une image comme indiqué ci-dessus est une approche beaucoup plus sûre.

    À ce stade, il est essentiel d’obtenir la commande dd correctement. Si vous avez mal entré of=, vous risquez d'endommager toutes les données qui y existaient.

  8. Installez TestDisk sur votre système en ligne comme cela a été détaillé dans ma réponse ci-dessous:

  9. Lisez le guide impressionnant et concis des concepteurs de TestDisk pour le récupérer.

  10. Si votre lecteur est énorme, montez un autre lecteur/partition pour contenir les données récupérées. Notez ce point de montage pour testdisk.
  11. Exécuter testdiskInstall testdisk sur l'image de votre lecteur:

    cd /mountpoint/DRIVENAME/
    Sudo testdisk rescue.dd
    
  12. Sauvegardez les répertoires et les fichiers récupérés sur votre lecteur/partition de sauvegarde (indiquez à testdisk le point de montage de ce lecteur comme emplacement de stockage au cas où il serait différent de celui de l’image).
  13. Vérifiez que vos données sont là.
  14. Démontez tous les lecteurs ou arrêtez la session en direct.

Si nous n'avons pas réussi à récupérer nos fichiers, nous pouvons également exécuter PhotoRec qui a été installé avec la suite TestDisk pour récupérer des fichiers individuels (mais les autorisations de noms de fichiers et les répertoires seront perdus).

Votre disque endommagé est toujours intact. Nous pouvons même laisser ce disque être récupéré par un service professionnel au cas où nous échouions avec les étapes ci-dessus.

10
Takkat

Je crois que, entre autres choses, testdisk devrait fonctionner comme un outil pour récupérer vos données. Cependant, avant tout, avant de faire quoi que ce soit, vous devez conserver votre dernière copie des données. Premièrement, montez-le seulement en lecture seule à partir d’ici. (Vous pouvez le remonter avec l'option ro, voir man mount)

Je suggère de vous procurer un disque volumineux (> 2 To) et de copier une image complète de votre disque actuel au-dessus de: dd if=/dev/sda of=disk-image.dd où/dev/sda est votre lecteur en lecture seule monté; tous les disques importants et disk-image.dd est un fichier sur le nouveau disque, assurez-vous que 2 To sont libres.

testdisk fonctionnera également sur une image et devrait pouvoir trier la table de partition. Revenir avec des questions et des commentaires et nous pouvons prendre à partir d'ici ...

Un bon endroit pour commencer à lire est ici: http://epyxforensics.com/node/36 Dans son parcours, il commence par faire une copie conforme comme je l’ai suggéré ci-dessus et continue à travailler sur la copie.

Avez-vous installé un ordinateur d’examen avec testdisk, gparted et peut-être hexedit?

3
DrSAR